Des hackers nord-coréens utilisent de fausses mises à jour de Zoom pour propager le malware "NimDoor" sur macOS ciblant les entreprises de cryptoactifs.

Selon un rapport de The Block : SentinelLabs a averti que des hackers nord-coréens exploitent un virus de porte dérobée NimDoor déguisé en mise à jour de Zoom pour attaquer les systèmes macOS, dérobant des données et des mots de passe de portefeuille.

La société de sécurité SentinelLabs a averti dans un rapport de recherche récent qu'un groupe de hackers nord-coréen utilise un nouveau virus de porte dérobée macOS appelé NimDoor, infectant les appareils Apple pour infiltrer les entreprises de cryptomonnaie et voler des certificats de portefeuille et des mots de passe de navigateur.

Ce virus est caché dans un faux programme de mise à jour de Zoom, et ses méthodes de propagation se font principalement via la plateforme sociale Telegram. Les attaquants ont utilisé une stratégie de ingénierie sociale familière : d'abord, ils contactent les utilisateurs cibles via Telegram, puis ils organisent des "réunions" sur Calendly, incitant les victimes à télécharger un package d'installation malveillant déguisé en mise à jour de Zoom. Ce logiciel contourne le mécanisme de détection de sécurité d'Apple en utilisant le "sideloading" et réussit à s'exécuter sur l'appareil.

La particularité de NimDoor est qu'il est écrit dans un langage de programmation de niche, Nim, qui est rarement utilisé dans les malwares, ce qui lui permet d'échapper à la détection de la base de données de virus actuelle d'Apple. Une fois installé, cette porte dérobée va :

Collecter les mots de passe enregistrés par le navigateur ;

Voler la base de données locale de Telegram;

Extraire le fichier de portefeuille de chiffrement ;

Et créez une entrée de démarrage de connexion, permettant une exécution persistante et le téléchargement de modules d'attaque ultérieurs.

SentinelLabs recommande :

Les entreprises de chiffrement devraient interdire tous les paquets d'installation non signés ;

Téléchargez les mises à jour de Zoom uniquement depuis le site officiel zoom.us ;

Vérifiez la liste de contacts Telegram et restez vigilant face aux comptes inconnus qui envoient activement des fichiers exécutables.

Cette attaque fait partie des opérations continues de la Corée du Nord visant l'industrie du Web3. Auparavant, Interchain Labs avait révélé que l'équipe du projet Cosmos avait involontairement recruté des développeurs nord-coréens. Parallèlement, le ministère de la Justice des États-Unis a également inculpé plusieurs suspects nord-coréens, les accusant d'avoir blanchi plus de 900 000 dollars de cryptomonnaies volées via Tornado Cash, ces personnes ayant usurpé l'identité de citoyens américains et planifié plusieurs attaques informatiques.

Selon les dernières estimations de la société de sécurité blockchain TRM Labs, au cours du premier semestre 2025, des organisations de hackers liées à la Corée du Nord ont volé plus de 1,6 milliard de dollars d'actifs en chiffrement. Parmi eux, l'attaque de Bybit en février de cette année a causé des pertes de 1,5 milliard de dollars, représentant plus de 70 % de toutes les pertes en chiffrement de Web3 au cours du premier semestre.