Hackers norte-coreanos utilizam atualizações falsas do Zoom para espalhar malware "NimDoor" macOS direcionado a empresas de ativos de criptografia.

Segundo o The Block, a SentinelLabs alertou que hackers norte-coreanos estão a utilizar o vírus de backdoor NimDoor disfarçado de atualização do Zoom para atacar sistemas macOS, roubando dados e senhas de carteiras encriptação.

A empresa de segurança SentinelLabs alertou em um relatório de pesquisa recente que um grupo de ataque cibernético da Coreia do Norte está usando um novo vírus de backdoor para macOS chamado NimDoor, infectando dispositivos Apple para invadir empresas de encriptação e roubar credenciais de Carteira e senhas de navegador.

O vírus está escondido em um programa de atualização falso do Zoom, e a forma de propagação acontece principalmente através da plataforma social Telegram. Os atacantes utilizam uma estratégia de engenharia social familiar: primeiro, eles entram em contato com os usuários-alvo pelo Telegram, e depois agendam uma "reunião" no Calendly, induzindo a vítima a baixar um pacote de instalação malicioso disfarçado como uma atualização do Zoom. O software consegue contornar o mecanismo de detecção de segurança da Apple através de um método de "sideloading", conseguindo rodar no dispositivo.

A singularidade do NimDoor reside no fato de que foi escrito em uma linguagem de programação de nicho chamada Nim, raramente utilizada em malware, o que também o permite evitar a detecção pela lista de vírus atual da Apple. Uma vez instalado, este backdoor irá:

Coletar senhas salvas pelo navegador;

Roubo da base de dados local do Telegram;

Extrair o arquivo da carteira de encriptação;

E criar entradas de início de sessão, permitindo a execução persistente e o download de módulos de ataque subsequentes.

SentinelLabs sugere:

A empresa de encriptação deve proibir todos os pacotes de instalação não assinados;

Apenas faça o download das atualizações do Zoom a partir do site oficial zoom.us;

Revise a lista de contactos do Telegram e esteja atento a contas estranhas que enviem ficheiros executáveis.

Este ataque é parte de uma ação contínua da Coreia do Norte contra a indústria Web3. Anteriormente, a Interchain Labs revelou que a equipe do projeto Cosmos inadvertidamente contratou desenvolvedores norte-coreanos. Ao mesmo tempo, o Departamento de Justiça dos EUA também acusou vários suspeitos de nacionalidade norte-coreana, alegando que eles lavaram mais de 900 mil dólares em criptomoedas roubadas através do Tornado Cash, esses indivíduos se passando por cidadãos americanos e planejando múltiplos ataques cibernéticos.

De acordo com as últimas estimativas da empresa de segurança em blockchain TRM Labs, no primeiro semestre de 2025, organizações de hackers associadas à Coreia do Norte roubaram mais de 1,6 mil milhões de dólares em encriptação. Desses, apenas o ataque à Bybit em fevereiro deste ano causou uma perda de 1,5 mil milhões de dólares, representando mais de 70% de todas as perdas em encriptação do Web3 no primeiro semestre.