Korea Północna używa nowych rodzin malware na macOS w atakach na sektor krypto – ClickFix, deepfake i 7 narzędzi w jednym łańcuchu

Wprowadzenie do problemu / definicja luki

Opisywana kampania to nie „klasyczna luka” w sensie CVE, tylko połączenie socjotechniki i wieloetapowego łańcucha infekcji. Napastnicy – wiązani z północnokoreańskim zapleczem – wykorzystują technikę ClickFix (nakłanianie ofiary do wykonania komend „naprawczych” w systemie), a dodatkowo mają sięgać po AI-generowane materiały wideo (deepfake), by uwiarygodnić spotkanie i skłonić pracownika z branży kryptowalut do uruchomienia poleceń w terminalu.

To istotny trend: skuteczność ataku rośnie nie dzięki 0-day na macOS, ale dzięki temu, iż to użytkownik uruchamia inicjator infekcji, często w kontekście zawodowym (Web3/fintech), gdzie presja czasu i „spotkania z partnerem” są normalne.

W skrócie

• Google (Mandiant) opisał incydent przypisany UNC1069 (aktywny co najmniej od 2018 r.), wymierzony w podmiot z sektora krypto/DeFi.
• Wejście: kontakt na Telegramie z przejętego konta, link Calendly, a potem fałszywa strona spotkania (podszycie pod Zoom) i scenariusz „problemów z audio”.
• Ofiara dostaje zestaw poleceń do wklejenia; wśród nich jest komenda pobierająca i uruchamiająca payload (dla macOS oraz osobno dla Windows).
• Na macOS w jednej operacji zidentyfikowano 7 rodzin malware, w tym nowe narzędzia do eksfiltracji danych (m.in. SILENCELIFT, DEEPBREATH, CHROMEPUSH).

Kontekst / historia / powiązania

DPRK od lat monetyzuje operacje cybernetyczne w ekosystemie kryptowalut (giełdy, dostawcy portfeli, firmy infrastrukturalne, zespoły developerskie). W praktyce widzimy dwa równoległe wątki:

1. Precyzyjne kampanie „na ludzi” (inżynierowie, finanse, zarząd) oparte o zaufanie i rozmowę 1:1. Ten model mocno przypomina wcześniejsze kampanie przypisywane BlueNoroff, gdzie atak zaczynał się od rozmów, materiałów „biznesowych” i prowadził do uruchomienia skryptów/payloadów na macOS.
2. Ewolucję narzędzi: rośnie komponent AI (treści, grafiki, wideo) i dopracowanie „scenariusza spotkania”, a nie tylko samego malware. Mandiant wskazuje, iż UNC1069 używa narzędzi AI w rozpoznaniu i przygotowaniu elementów operacji, a Kaspersky opisywał podobną linię rozwoju u aktorów powiązanych z BlueNoroff.

Analiza techniczna / szczegóły luki

1) Łańcuch infekcji: ClickFix + fałszywe spotkanie

Mechanika ClickFix jest prosta: ofiara ma wrażenie, iż wykonuje kroki diagnostyczne (np. dotyczące dźwięku), a wkleja polecenie, które pobiera i uruchamia złośliwy kod. W opisywanym incydencie komendy zawierały m.in. wywołanie curl ... | zsh dla macOS (pobranie skryptu i uruchomienie w powłoce) oraz alternatywny zestaw dla Windows.

2) Siedem rodzin malware na macOS – role i funkcje

Z perspektywy obrony najważniejsze jest to, iż to nie jeden trojan, tylko zestaw wyspecjalizowanych komponentów:

• WAVESHAPER – backdoor (C++) działający w tle, zbiera informacje o hoście, komunikuje się HTTP/HTTPS i pobiera kolejne etapy.
• HYPERCALL – downloader (Go) z RC4-szyfrowaną konfiguracją; łączność po WebSockets na 443; pobiera biblioteki i ładuje je w pamięci (reflective loading).
• HIDDENCALL – backdoor (Go) wstrzykiwany przez HYPERCALL, daje operatorowi „hands-on keyboard” (komendy, pliki).
• SILENCELIFT – minimalistyczny backdoor (C/C++), beaconing do twardo wpisanego C2; w pewnych warunkach ma wpływać na komunikację Telegram (wymagane uprawnienia).
• DEEPBREATH – data miner (Swift): jeden z najciekawszych elementów, bo ma obchodzić TCC poprzez modyfikację bazy TCC i dzięki temu kraść m.in. dane z Keychain, przeglądarek (Chrome/Brave/Edge), Telegrama i Apple Notes.
• SUGARLOADER – downloader (C++), użyty do dostarczania kolejnych etapów; w badanym przypadku utrwalany przez manualnie utworzony launch daemon.
• CHROMEPUSH – data miner (C++): instaluje się jako Chromium Native Messaging Host, podszywając się pod rozszerzenie typu „Google Docs Offline”, i potrafi zbierać dane przeglądarkowe (w tym cookies), a także obserwować wpisy (keystrokes) i opcjonalnie wykonywać zrzuty ekranu.

3) Dlaczego to trudniejsze do wykrycia?

Mandiant zwraca uwagę na wykorzystanie artefaktów XProtect/XBS (w tym XPdb) do odtworzenia sekwencji zdarzeń choćby wtedy, gdy próbki zostały skasowane, a na hoście nie było EDR. To sygnał dla SOC/DFIR: na macOS ślady potrafią przetrwać w systemowych bazach, a nie tylko w klasycznych logach.

Praktyczne konsekwencje / ryzyko

1. Ryzyko kradzieży kryptowalut i przejęć kont rośnie, bo malware celuje w dane sesyjne (cookies), hasła, rozszerzenia, a także komunikatory (Telegram) – czyli dokładnie to, co bywa używane do autoryzacji w ekosystemie krypto.
2. Kompromitacja tożsamości (dane z przeglądarki, notatek, komunikatorów) umożliwia kolejne ataki socjotechniczne „z twojego konta” na współpracowników i partnerów – spirala zaufania działa na korzyść napastnika.
3. macOS nie jest „bezpieczną przystanią” w środowiskach Web3/fintech – atakujący inwestują w natywne techniki (AppleScript, launch daemony, obejścia TCC), bo to się zwraca.

Rekomendacje operacyjne / co zrobić teraz

Dla zespołów bezpieczeństwa (SOC/IR)

• Polityka „no copy-paste commands”: w procesach biznesowych (sprzedaż/partnerstwa/rekrutacje) wprost zakazać uruchamiania komend otrzymanych w czacie/spotkaniu. ClickFix działa, bo normalizuje „wklej to do terminala”.
• Telemetria na macOS: zbieraj zdarzenia dot. tworzenia/edycji:
  • /Library/LaunchDaemons/*.plist (np. podejrzane nazwy w stylu systemowych updaterów),
  • nietypowych plików binarnych w katalogach systemowych/użytkownika,
  • modyfikacji baz TCC (szczególnie, jeżeli proces nie jest podpisanym komponentem Apple).
• Hunting pod WebSockets + RC4 config + „native messaging host” w środowiskach Chrome/Brave/Edge na macOS (mechanika CHROMEPUSH).
• Edukacja na deepfake w spotkaniach: jeżeli „CEO/partner” jest na wideo, ale prosi o nietypowe działania administracyjne – to czerwona flaga.

Dla firm krypto/Web3/fintech (profil ryzyka)

• Wprowadź weryfikację kanału: spotkania tylko przez ustalone domeny/SSO, a linki Calendly/Zoom weryfikowane niezależnym kanałem (np. firmowy mail + podpisane zaproszenie).
• Oddziel środowiska: urządzenie do podpisów/operacji finansowych nie powinno służyć do „bizdev calli”, testów i codziennego przeglądania.
• MFA odporne na kradzież cookies: tam, gdzie możliwe, preferuj mechanizmy ograniczające przejęcie sesji (device binding/conditional access).

Różnice / porównania z innymi przypadkami

• W kampaniach macOS przeciw sektorowi krypto widywaliśmy wcześniej zestawy narzędzi nastawione na kradzież danych i portfeli (np. opisy analiz, gdzie macOS-owe warianty wykradają dane przeglądarkowe, hasła i artefakty walletów).
• Nowość w opisywanym incydencie to skala i „zestawowość”: siedem rodzin malware na jednym hoście oraz wyraźne spięcie socjotechniki (Telegram + deepfake + ClickFix) z agresywnym harvestingiem (TCC/Keychain/Telegram/Notes + rozszerzenia przeglądarkowe).
• U BlueNoroff/Huntress widać podobną filozofię ataku: bardzo celowane działania na macOS, AppleScript, kradzież materiałów wrażliwych i komponenty wspierające kradzież krypto.

Podsumowanie / najważniejsze wnioski

• To kampania, w której człowiek jest „wektorem wykonania”: ClickFix omija część klasycznych barier, bo użytkownik sam uruchamia inicjator infekcji.
• UNC1069 wdraża rozbudowany arsenał na macOS: od backdoorów i loaderów po wyspecjalizowane „minery” danych (w tym mechanizmy naruszające TCC oraz podszywanie się pod rozszerzenia Chrome/Brave).
• Dla organizacji z obszaru krypto/Web3 priorytetem jest dziś nie tylko „patching”, ale kontrola procesu komunikacji i spotkań, twarde zasady dot. uruchamiania poleceń oraz widoczność (telemetria) na macOS.

Źródła / bibliografia

1. BleepingComputer – opis kampanii i listy rodzin malware (10 lutego 2026). (BleepingComputer)
2. Google Cloud Blog (Mandiant) – pełna analiza UNC1069, ClickFix, deepfake, łańcuch i funkcje narzędzi (9 lutego 2026). (Google Cloud)
3. Huntress – analiza włamania BlueNoroff w Web3 na macOS (czerwiec 2025). (Huntress)
4. Kaspersky – informacje o kampaniach BlueNoroff i użyciu AI-driven narzędzi (październik 2025). (kaspersky.com)
5. Palo Alto Networks Unit 42 – kontekst innych rodzin malware na macOS celujących w sektor krypto (luty 2025). (Unit 42)