Cum îi păcălesc hackerii nord-coreeni pe utilizatorii de Mac cu oferte false de job și update-uri inventate
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/04/hacker-coreea-de-nord.jpg)
Utilizatorii de Mac sunt adesea tentați să creadă că sunt mai bine protejați decât restul lumii digitale. Tocmai de aceea, noua campanie descoperită de Microsoft este cu atât mai importantă: un grup de hackeri asociat Coreei de Nord folosește o metodă de manipulare extrem de simplă, dar eficientă, pentru a fura date sensibile de pe computerele Apple. Țintele sunt atrase cu oferte false de angajare, apoi convinse să instaleze un presupus update pentru Zoom. În realitate, acel fișier deschide poarta către furt de parole, portofele crypto, notițe private și alte informații valoroase.
Campania este atribuită de Microsoft unui actor de amenințare urmărit sub numele Sapphire Sleet, un grup pe care compania îl leagă de operațiuni nord-coreene orientate spre furt financiar și proprietate intelectuală. Metoda folosită aparține familiei de atacuri numite ClickFix, un tip de inginerie socială care a explodat în popularitate în ultimul an. Ideea este simplă: victima este convinsă că există o problemă tehnică urgentă și i se cere să facă singură un pas care, de fapt, declanșează compromiterea sistemului.
O ofertă de job care se transformă într-un furt de date
Potrivit cercetării Microsoft, atacul începe de obicei pe rețele sociale sau platforme profesionale, unde sunt create profiluri false de recrutori. Ținta este contactată cu pretextul unei oportunități de angajare, apoi este invitată la un interviu tehnic. În acel moment apare capcana: „recrutorul” spune că este nevoie de un update pentru Zoom și trimite un fișier numit „Zoom SDK Update.scpt”. Pentru un utilizator obișnuit, numele poate părea legitim. Pentru atacatori, este exact deschiderea perfectă.
Fișierul este un AppleScript compilat, care se deschide implicit în Script Editor pe macOS. Victima este apoi îndrumată să apese butonul „Run”, adică să execute chiar ea codul malițios. Spre deosebire de multe atacuri similare pe Windows, unde utilizatorul este convins să copieze și să lipească manual comenzi periculoase, aici totul este împachetat într-o formă care pare mai curată și mai legitimă pentru un posesor de Mac. Tocmai această aparență de normalitate face atacul periculos.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/d6a5b576506fa14602ed56ef2584f825-t.jpg)
După execuție, începe o succesiune de payload-uri care instalează componente pentru persistență, recoltare de credențiale și furt de date. Microsoft spune că atacul vizează printre altele browsere, keychain-ul macOS, istoricul de navigare, Apple Notes, Telegram și portofelele crypto. Mai mult, lanțul de infectare încearcă să ocolească și sistemul Apple numit Transparency, Consent, and Control, adică mecanismul care ar trebui să ceară consimțământul utilizatorului înainte de accesarea anumitor date sensibile.
De ce funcționează și ce trebuie să urmărești
Microsoft spune că astfel de atacuri merg atât de bine pentru că utilizatorii sunt deja obișnuiți să urmeze instrucțiuni tehnice în timpul unui call, să descarce rapid un tool sau să accepte un update fără să stea mult pe gânduri. Atacatorii exploatează exact acest reflex. Nu forțează sistemul direct, ci te conving pe tine să faci pasul critic. Din acest motiv, campania reușește să opereze în afara unor bariere clasice de securitate și să profite de încrederea utilizatorului, nu doar de o slăbiciune tehnică.
Partea bună este că Apple și Microsoft au reacționat. Microsoft a transmis detaliile campaniei către Apple, iar Apple a implementat protecții la nivel de platformă pentru a detecta și bloca infrastructura și malware-ul asociate. Microsoft a precizat explicit că Safari beneficiază de protecții Apple Safe Browsing pentru blocarea infrastructurii malițioase, iar presa de securitate a relatat și despre actualizări XProtect pentru detectarea familiilor malware implicate.
Mesajul esențial rămâne însă foarte simplu: dacă primești un „update” trimis într-un interviu de job, într-un apel video sau pe un site necunoscut, tratează-l ca pe o amenințare până la proba contrarie. În 2026, siguranța pe Mac nu mai înseamnă doar antivirus și update-uri automate. Înseamnă, mai ales, să nu cazi în plasa unui scenariu bine jucat.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/9c2ab12b1bcfb46a83803bc57cd80cac-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/e959287d84cf5d0f3c71b63fceb8379b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/c4c42498077f4fb817c84a64a460d668-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/b38583f42fd25d14954c63e2700500d4-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/05/1778137329/6dc8d64d0144773dd351146896b86f6b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Romanii-vor-avea-patru-zile-libere-la-rand.-Cand-este-programata-urmatoarea-minivacanta.webp)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/asus_vivobook_s14_s5408qa_scenario_photo_8g_matte_gray_01-scaled.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Cati-bani-a-reusit-sa-stranga-la-Pilonul-II-un-roman-cu-salariul-mediu-in-18-ani.-Din-2027-intra-in-vigoare-reguli-noi.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Meteorit-captura-SUA.jpg)