Lazarus Groupと呼ばれるハッカー集団の背後には北朝鮮がいると、米国政府やセキュリティ企業らは考えている。彼らは標的とするMacに、Lazarusのフロント企業が作成した仮想通貨関連の偽のソフトを通じて侵入する。
セキュリティ専門家のJamf Patrick Wardleによると、ハッカーらはまず、実際には存在しない企業の公式サイトを立ち上げるという。今回のレポートでは、北朝鮮が設立したJMT Tradingという企業の例があげられた。
JMT Tradingは仮想通貨取引に用いるオープンソースのソフトウェアを作成し、GitHubなどでシェア可能にする。ただし、そのソフトのコードにはマルウェアが潜ませてあるのだ。感染したMacはバックドアをハッカーらに開放し、不正なソフトの入り口として用いられる。
Wardleによると、ハッカーらは攻撃対象のMacの、完全なコントロール権を握ることになるという。その後、犯罪者集団は仮想通貨取引所の管理者やユーザーにコンタクトをとり、彼らが開発した新たなアプリのテスト及びレビューをして欲しいと依頼する。うまく行けばハッカーらは取引所のシステムに侵入し、仮想通貨を外部に流出させる。
北朝鮮はこれまでにも度々、仮想通貨取引所をターゲットにしており、かなりの頻度で成功を収めている。今年8月には金融機関や仮想通貨企業を狙ったハッキングにより、最大で20億ドル(約2170億円)相当が盗まれたと報じられた。北朝鮮はここで入手した資金の一部を、ミサイル開発に用いているとの報道もある。
北朝鮮によるMacを標的とした攻撃は、今年8月にカスペルスキー研究所が発見したロシアの攻撃に類似したものだ。その際は、Celas LLCという名のフロント企業の関連が指摘されていた。
ただし、これらの攻撃が一般ユーザーを標的にする可能性は低いという。攻撃対象となるのは主に、仮想通貨取引所の社員のMacだという。