Los hackers norcoreanos utilizan actualizaciones falsas de Zoom para propagar el malware "NimDoor" de macOS dirigido a Activos Cripto.

Según un informe de The Block: SentinelLabs advierte que hackers norcoreanos están utilizando el virus de puerta trasera NimDoor disfrazado como actualización de Zoom para atacar sistemas macOS y robar datos y contraseñas de Billetera encriptación.

La empresa de seguridad SentinelLabs advirtió en un reciente informe de investigación que un grupo de ciberataques de Corea del Norte está utilizando un nuevo virus troyano para macOS llamado NimDoor, que infecta dispositivos Apple para infiltrarse en empresas de criptomonedas y robar credenciales de billetera y contraseñas del navegador.

El virus está oculto en un programa de actualización de Zoom falsificado, y su método de propagación se lleva a cabo principalmente a través de la plataforma social Telegram. Los atacantes utilizaron estrategias familiares de ingeniería social: primero, se pusieron en contacto con los usuarios objetivo a través de Telegram, y luego programaron una "reunión" en Calendly, engañando a las víctimas para que descargaran un paquete de instalación malicioso disfrazado de actualización de Zoom. Este software logra eludir el mecanismo de detección de seguridad de Apple mediante un método de "sideloading", ejecutándose con éxito en el dispositivo.

Lo especial de NimDoor es que está escrito en un lenguaje de programación poco común llamado Nim, que rara vez se utiliza en malware, lo que le permite eludir el reconocimiento de la base de datos de virus de Apple. Una vez instalado, esta puerta trasera:

Recoger las contraseñas guardadas en el navegador;

Robar la base de datos local de Telegram;

Extraer archivo de billetera encriptación;

y crear entradas de inicio de sesión, logrando una ejecución persistente y la descarga de módulos de ataque posteriores.

SentinelLabs sugiere:

Las empresas de encriptación deben prohibir todos los paquetes de instalación no firmados;

Descargue actualizaciones de Zoom solo desde el sitio web oficial de zoom.us;

Revisa la lista de contactos de Telegram y ten cuidado con las cuentas desconocidas que envían archivos ejecutables.

Este ataque es parte de la campaña continua de Corea del Norte contra la industria Web3. Anteriormente, Interchain Labs había revelado que el equipo del proyecto Cosmos había contratado sin querer a desarrolladores norcoreanos. Al mismo tiempo, el Departamento de Justicia de EE. UU. también acusó a varios sospechosos de nacionalidad norcoreana de haber lavado más de 900,000 dólares en criptomonedas robadas a través de Tornado Cash; estas personas se hicieron pasar por ciudadanos estadounidenses y planearon múltiples ataques cibernéticos.

Según las últimas estimaciones de la empresa de seguridad en blockchain TRM Labs, en la primera mitad de 2025, los grupos de hackers relacionados con Corea del Norte han robado más de 1,600 millones de dólares en encriptación. Solo el ataque a Bybit en febrero de este año causó pérdidas por 1,500 millones de dólares, representando más del 70% de todas las pérdidas en encriptación en Web3 en la primera mitad del año.