北朝鮮のハッカーが偽のZoomアップデートを利用して、暗号資産会社を狙った「NimDoor」macOSマルウェアを広めている

《The Block》によると、SentinelLabsは、北朝鮮のハッカーがZoomの更新を装ったNimDoorバックドアウイルスを利用してmacOSシステムを攻撃し、暗号ウォレットのデータとパスワードを盗んでいると警告しています。

セキュリティ会社 SentinelLabs は最新の研究報告で、北朝鮮のサイバー攻撃組織が NimDoor と呼ばれる新型の macOS バックドアウイルスを使用して、Apple デバイスを感染させ、暗号化企業に侵入し、ウォレットの認証情報やブラウザのパスワードを盗んでいると警告しています。

このウイルスは偽のZoomアップデートプログラムに隠れており、主にTelegramソーシャルプラットフォームを通じて拡散されます。攻撃者はおなじみのソーシャルエンジニアリング戦略を利用しています。まずTelegramを通じてターゲットユーザーに接触し、その後Calendlyで「会議」を設定して、被害者にZoomのアップデートを装った悪意のあるインストーラーをダウンロードさせます。このソフトウェアは「サイドロード」方式でAppleのセキュリティ検査メカニズムを回避し、デバイスで正常に実行されます。

NimDoor の特異性は、それが悪意のあるソフトウェアでほとんど使用されないマイナーなプログラミング言語 Nim で書かれているため、Apple の現在のウイルスライブラリの認識を回避できることです。一度インストールされると、このバックドアは次のようになります：

ブラウザに保存されたパスワードを収集する；

Telegram のローカルデータベースを盗む；

暗号化ウォレットファイルを抽出する；

ログインのスタートアップ項目を作成し、永続的な実行とその後の攻撃モジュールのダウンロードを実現します。

SentinelLabsは以下を推奨しています。

暗号化会社はすべての未署名のインストールパッケージを禁止すべきです；

zoom.us の公式ウェブサイトからのみ Zoom アップデートをダウンロードしてください；

Telegram の連絡先リストを確認し、実行可能ファイルを送信する見知らぬアカウントに注意してください。

今回の攻撃は、北朝鮮によるWeb3業界に対する攻撃行動の一部です。以前、Interchain Labsは、Cosmosプロジェクトチームが一時的に北朝鮮の開発者を意図せず雇ったことを明らかにしました。同時に、米国司法省は、数名の北朝鮮籍の容疑者を起訴し、彼らがTornado Cashを通じて90万ドル以上の盗まれた暗号通貨を洗浄したと指摘しています。これらの人々は、アメリカ市民の身分を偽装し、複数のサイバー攻撃を計画していました。

ブロックチェーンセキュリティ会社TRM Labsの最新の推定によると、2025年上半期に北朝鮮に関連するハッカー組織が、16億ドル以上の暗号資産を盗んだ。中でも、今年2月のBybit攻撃事件は15億ドルの損失を引き起こし、上半期のWeb3全体の暗号損失の70％以上を占めている。