Segundo uma pesquisa recente, uma nova variante de malware para macOS, chamada TodoSwift, exibe semelhanças com softwares maliciosos conhecidos, utilizados por grupos de hackers norte-coreanos. O TodoSwift compartilha comportamentos com malwares originários da Coreia do Norte, especificamente com o grupo de ameaças conhecido como BlueNoroff, como os malwares KANDYKORN e RustBucket. RustBucket, revelado em julho de 2023, é um backdoor baseado em AppleScript, capaz de buscar cargas maliciosas adicionais de um servidor de comando e controle (C2). Ambos os malwares, KANDYKORN e RustBucket, têm a capacidade de acessar e exfiltrar dados de computadores das vítimas, além de executar comandos e terminar processos arbitrários no sistema infectado.

Uma característica comum entre eles é o uso de domínios linkpc[.]net para fins de C2, reforçando a conexão com o grupo de hackers Lazarus e seu subgrupo BlueNoroff. A Coreia do Norte, por meio de unidades como o Lazarus Group, continua a atacar empresas da indústria de criptomoedas com o objetivo de roubar criptomoedas e contornar sanções internacionais que dificultam o crescimento de sua economia e ambições, conforme destacado pela Elastic.

As descobertas mais recentes indicam que o TodoSwift é distribuído na forma de um arquivo assinado chamado TodoTasks, que inclui um componente dropper. Esse módulo é uma aplicação GUI escrita em SwiftUI, projetada para exibir um documento PDF inofensivo enquanto, de forma encoberta, baixa e executa um binário malicioso de segunda fase, uma técnica também empregada pelo RustBucket.