Вирус был обнаружен на поддельном сайте для криптовалютной торговли с адресом «unioncrypto.vip», который продвигается как «платформа для арбитражной торговли криптовалютами». При этом, вирус должен автоматически запускаться с удаленного сервера при посещении сайта и на данный момент обнаруживается лишь небольшим числом антивирусов.
Сообщается, что вредоносный пакет не имеет сертификата подписи, поэтому при запуске MacOS предупреждает пользователя о возможной опасности. Хотя удаленный сервер уже работает, функция запуска вируса пока не активна. Возможно, угрозу обнаружили еще до того, как она была введена в эксплуатацию, однако очевидно, что целью хакеров должны были стать владельцы криптовалют.
Другой специалист по кибербезопасности Патрик Уордл (Patrick Wardle) заявил, что вирус имеет «явные пересечения» с другой вредоносной программой, также запущенной Lazarus.
Ранее в закрытом отчете ООН сообщалось, что Северная Корея финансирует разработку вооружений за счет цифровых и фиатных валют, украденных из банков и криптовалютных бирж. Еще осенью прошлого года Group-IB заявила, что северокорейская группа хакеров украла $571 млн в криптовалютах.