MOEX 09:30–18:45 MSK

Хакеры крадут криптовалюту на macOS: как работают новые схемы атак через Bybit и Lazarus Group

Владимир Платонов · 22 апреля, 2026 09:49

Две новые кампании хакеров угрожают пользователям macOS: первая использует фейковый AI-инструмент «Claude Code» и SEO-отравление, вторая — вредоносный пакет «Mach-O Man» через Telegram. Вредоносное ПО крадет криптовалюту, логины, пароли и данные Keychain. Эксперты Bybit и независ.

Crypto+Хакеры крадут криптовалюту на macOS: как работают новые схемы атак через Bybit и Lazarus Group
  • Хакеры используют SEO-отравление и фейковые сайты, чтобы заманить пользователей macOS на скачивание вредоносного ПО под видом AI-инструмента «Claude Code»
  • Вредоносное ПО, обнаруженное Bybit, крадет данные из 250+ криптокошельков, браузеров, macOS Keychain и Telegram-сессий
  • Кампания Lazarus Group через Telegram рассылает «приглашения на встречу» и предлагает выполнить команду в терминале, что приводит к установке загрузчика и последующей краже данных
  • Вредонос закрепляется в системе через LaunchAgent и собирает пароли, cookies, сессии браузеров и другие чувствительные файлы, отправляя их злоумышленникам через Telegram
  • Под угрозой находятся не только криптоактивы, но и корпоративные логины, пароли и внутренняя инфраструктура компаний
  • Эксперты рекомендуют проверять источники ПО, использовать двухфакторную аутентификацию и регулярно обновлять антивирусные базы

Вчера, 2026-04-21, биржа Bybit и независимые исследователи сообщили о двух новых кампаниях хакеров, нацеленных на пользователей macOS. Первая кампания использует SEO-отравление, чтобы вывести в топ Google фейковый сайт, предлагающий скачать «AI-инструмент Claude Code».

После скачивания пользователи получают многоэтапное вредоносное ПО, которое крадет данные из 250+ криптокошельков, браузеров, macOS Keychain и Telegram-сессий. Вредонос закрепляется в системе и предоставляет хакерам удаленный доступ. Вторая кампания, связанная с группой Lazarus, начинается с рассылки в Telegram «приглашений на встречу» под видом Zoom, Teams или Meet. Жертве предлагают «исправить ошибку» и вставить команду в терминал.

После выполнения команды устанавливается загрузчик, который подтягивает остальные модули атаки.

Вредонос собирает данные об устройстве, системе, сети и установленных браузерах, а затем закрепляется через LaunchAgent. На следующем этапе запускается инфостилер, который агрегирует пароли, cookies, сессии браузеров и данные Keychain, отправляя их злоумышленникам через Telegram. Эксперты отмечают, что обе кампании нацелены на кражу криптовалюты, корпоративных логинов и паролей, а также внутренней инфраструктуры компаний.

Вредоносное ПО способно обходить стандартные системы защиты, так как использует легитимные механизмы macOS и маскируется под обычный трафик. По словам аналитиков Bybit, пользователи должны быть особенно осторожны при скачивании ПО с неофициальных источников.

Рекомендуется проверять репутацию разработчика, использовать двухфакторную аутентификацию для криптокошельков и регулярно обновлять антивирусные базы. Также эксперты советуют избегать выполнения команд из непроверенных источников, особенно в терминале. Вредоносные кампании такого типа становятся все более изощренными, используя социальную инженерию и легитимные инструменты для маскировки атак. Пользователям macOS необходимо уделять особое внимание безопасности, так как новые угрозы могут оставаться незамеченными даже для опытных пользователей.

Новые атаки на macOS демонстрируют, как хакеры адаптируются к трендам и используют легитимные инструменты для обхода защиты. Особую тревогу вызывает тот факт, что злоумышленники нацелены не только на криптовалюту, но и на корпоративные данные, что может привести к серьезным последствиям для бизнеса. Пользователям необходимо пересмотреть подходы к безопасности: проверять источники ПО, использовать дополнительные слои защиты и быть бдительными при работе с незнакомыми ссылками. В эпоху AI-инструментов и удаленной работы такие угрозы становятся все более актуальными, и игнорировать их риски нельзя.

Владимир Платонов

Владимир Платонов — автор и обозреватель финансовых рынков. Специализируется на Forex, брокерских сервисах и торговой инфраструктуре. В материалах анализирует условия торговли, исполнение ордеров и риски для частных трейдеров.