与此前的 Lazarus 阵营行动不同,此次攻击专门针对苹果 macOS 用户。恶意软件会从受害者的 Mac 设备中收集登录会话和身份验证凭证,随后用于攻破钱包访问权限以及交易所账户凭证。主要目标包括数字资产公司的员工、开发者和高管。ANY.RUN 警告称,攻破单个账户可能同时暴露钱包访问权限以及内部企业系统,从而导致大规模资产被盗。
该恶意软件通过 ClickFix 分发,这是一种社交工程技术,使用伪造的错误消息和弹窗诱骗用户复制并执行恶意命令。攻击主要通过 Telegram 进行,借助被攻破的个人账号实施,并将受害者引导至类似 Zoom、Microsoft Teams 或 Google Meet 的伪造会议链接。随后,会提示用户以“解决连接问题”为由执行命令。这种由用户发起的执行方式能够轻易绕过传统安全系统。
此次披露发生在 4 月 20 日 Kelp DAO 被黑之后,该事件导致 116,500 rsETH (restaked Ethereum) 被盗。LayerZero 指出,TraderTraitor(一家与 Lazarus 有关联的组织)对该攻击负责。rsETH 分布在多条区块链上,跨链转移由 LayerZero 的 omnichain fungible token (OFT) 标准处理。