朝鮮黑客利用虛假 Zoom 更新傳播針對加密貨幣公司的“NimDoor”macOS 惡意軟件

據《The Block》報道：SentinelLabs 警告稱朝鮮黑客利用僞裝成 Zoom 更新的 NimDoor 後門病毒攻擊 macOS 系統，竊取加密錢包數據與密碼

安全公司 SentinelLabs 在一份最新研究報告中警告稱，一個朝鮮網路攻擊組織正在使用一種名爲 NimDoor 的新型 macOS 後門病毒，感染蘋果設備，從而入侵加密貨幣公司並竊取錢包憑證與瀏覽器密碼。

該病毒隱藏在僞造的 Zoom 更新程序 中，傳播手法主要通過 Telegram 社交平台展開，攻擊者採用了熟悉的 社交工程策略：先通過 Telegram 接觸目標用戶，隨後在 Calendly 上安排“會議”，誘使受害者下載僞裝成 Zoom 更新的惡意安裝包。該軟件通過“旁加載”（sideloading）方式繞過 Apple 的安全檢測機制，成功在設備中運行。

NimDoor 的特殊之處 在於它是使用一種極少在惡意軟件中使用的小衆編程語言 Nim 編寫的，這也讓它避開了蘋果當前的病毒庫識別。一旦安裝，該後門將會：

收集瀏覽器保存的密碼；

竊取 Telegram 本地數據庫；

提取加密錢包文件；

並創建登入啓動項，實現持久化運行及下載後續攻擊模塊。

SentinelLabs 建議：

加密公司應禁止所有 未籤名的安裝包；

僅從 zoom.us 官網下載 Zoom 更新；

審查 Telegram 聯繫人列表，警惕主動發送可執行文件的陌生帳號。

這次攻擊是朝鮮持續針對 Web3 行業攻擊行動的一部分。此前，Interchain Labs 曾透露，Cosmos 項目團隊一度 無意中僱傭了朝鮮開發者。同時，美國司法部也指控數名朝鮮籍嫌疑人，指其通過 Tornado Cash 清洗超過 90 萬美元的被盜加密貨幣，這些人假冒美國公民身分，策劃多項網路攻擊。

根據區塊鏈安全公司 TRM Labs 的最新估算，2025 年上半年，與朝鮮有關聯的黑客組織共竊取了超過 16 億美元的加密資產。其中，僅今年 2 月份的 Bybit 攻擊事件就造成 15 億美元損失，佔據上半年 Web3 所有加密損失的 70% 以上。