Hacker Korea Utara menggunakan pembaruan Zoom palsu untuk menyebarkan malware "NimDoor" macOS yang menargetkan Aset Kripto.

Menurut laporan dari The Block: SentinelLabs memperingatkan bahwa hacker Korea Utara menggunakan virus pintu belakang NimDoor yang menyamar sebagai pembaruan Zoom untuk menyerang sistem macOS, mencuri data dan kata sandi dompet enkripsi.

Perusahaan keamanan SentinelLabs dalam laporan penelitian terbarunya memperingatkan bahwa sebuah organisasi serangan siber dari Korea Utara sedang menggunakan virus pintu belakang macOS baru bernama NimDoor, yang menginfeksi perangkat Apple untuk menyerang perusahaan cryptocurrency dan mencuri kredensial dompet serta kata sandi browser.

Virus ini disembunyikan dalam pembaruan Zoom palsu, dan metode penyebarannya terutama dilakukan melalui platform media sosial Telegram. Penyerang menggunakan strategi rekayasa sosial yang dikenal: pertama, mereka menghubungi pengguna target melalui Telegram, kemudian mengatur "pertemuan" di Calendly, yang menggoda korban untuk mengunduh paket instalasi jahat yang menyamar sebagai pembaruan Zoom. Perangkat lunak ini berhasil menghindari mekanisme deteksi keamanan Apple melalui metode "sideloading" dan berhasil dijalankan di perangkat.

Keistimewaan NimDoor adalah bahwa ia ditulis menggunakan bahasa pemrograman kecil yang jarang digunakan dalam perangkat lunak berbahaya, yaitu Nim, yang juga membuatnya menghindari deteksi dari basis data virus Apple saat ini. Setelah diinstal, pintu belakang ini akan:

Mengumpulkan kata sandi yang disimpan oleh browser;

Mencuri basis data lokal Telegram;

Ekstrak file dompet enkripsi;

Dan buat item peluncuran login, untuk mewujudkan operasi yang persisten dan mengunduh modul serangan selanjutnya.

SentinelLabs menyarankan:

Perusahaan enkripsi harus melarang semua paket instalasi yang tidak ditandatangani;

Hanya unduh pembaruan Zoom dari situs resmi zoom.us;

Periksa daftar kontak Telegram, waspadai akun asing yang secara aktif mengirim file eksekusi.

Serangan ini adalah bagian dari tindakan serangan yang terus dilakukan oleh Korea Utara terhadap industri Web3. Sebelumnya, Interchain Labs mengungkapkan bahwa tim proyek Cosmos secara tidak sengaja telah mempekerjakan pengembang dari Korea Utara. Sementara itu, Departemen Kehakiman AS juga menuduh sejumlah tersangka berkewarganegaraan Korea Utara, yang diduga mencuci lebih dari 900.000 dolar AS dalam bentuk cryptocurrency yang dicuri melalui Tornado Cash, dengan menyamar sebagai warga negara AS dan merencanakan beberapa serangan siber.

Menurut perkiraan terbaru dari perusahaan keamanan blockchain TRM Labs, pada paruh pertama tahun 2025, kelompok hacker yang terkait dengan Korea Utara telah mencuri lebih dari 1,6 miliar dolar aset enkripsi. Di antaranya, hanya insiden serangan Bybit pada bulan Februari tahun ini yang menyebabkan kerugian sebesar 1,5 miliar dolar, yang menyumbang lebih dari 70% dari semua kerugian enkripsi Web3 di paruh pertama tahun ini.