有朝鮮背景的黑客組織Lazarus 使用適用於macOS 系統的經過簽名的惡意可執行文件，冒充Coinbase 招聘信息並吸引金融技術領域的員工。Lazarus 組織此前就曾使用虛假的工作機會做誘餌，而在近期的惡意活動中，該機構使用包含Coinbase 職位詳細信息的PDF 文件進行傳播。

這個虛假的招聘信息文檔叫做“Coinbase_online_careers_2022_07”。當用戶點擊之後，就會顯示上圖這樣的誘餌PDF 文件，然後就會調用惡意DLL，最終允許威脅攻擊者向受影響的設備發送命令。

ESET 的網絡安全專家表示黑客已經做好攻擊macOS 系統的準備了。專家表示Intel 和Apple Silicon 的Mac 均會受到影響，意味著無論新舊設備都可以成為黑客的攻擊目標。

在Twitter 上的一份帖子中，該惡意文件會釋放3 個文件

● 捆綁的FinderFontsUpdater.app

● 下載器safarifontagent

● 一個稱之為“Coinbase_online_careers_2022_07”的誘餌PDF 文件。

ESET 將最近的macOS 惡意軟件與Operation In(ter)ception 聯繫起來，後者也被認為是Lazarus 的手筆，以類似的方式攻擊知名航空航天和軍事組織。

查看macOS 惡意軟件，研究人員注意到它是在7 月21 日簽署的（根據時間戳值），並在2 月份向開發人員頒發了證書，該證書使用名稱Shankey Nohria 和團隊標識符264HFWQH63。

8 月12 日，該證書尚未被Apple 吊銷。但是，該惡意應用程序並未經過公證，這是Apple 用於檢查軟件是否存在惡意組件的自動過程。

與之前歸因於Lazarus 黑客組織的macOS 惡意軟件相比，ESET 研究人員觀察到下載器組件連接到不同的命令和控制(C2) 服務器，該服務器在分析時不再響應。長期以來，朝鮮黑客組織與加密貨幣黑客以及在旨在感染感興趣目標的網絡釣魚活動中使用虛假工作機會有關。