Северокорейские Хакеры используют фальшивые обновления Zoom для распространения вредоносных программ "NimDoor" для macOS, нацеленных на Криптоактивы.

Согласно сообщению The Block: SentinelLabs предупреждает, что северокорейский Хакер использует вирус-шифрование NimDoor, замаскированный под обновление Zoom, для атаки на системы macOS, похищая данные и пароли Кошелек.

Безопасная компания SentinelLabs в своем последнем исследовательском отчете предупредила, что северокорейская хакерская группа использует новый макос-вирус под названием NimDoor, который заражает устройства Apple, чтобы проникнуть в компании по шифрованию валют и украсть кошелек учетные данные и пароли браузера.

Вирус скрыт в поддельном обновлении Zoom, а методы распространения в основном осуществляются через социальную платформу Telegram. Злоумышленники используют знакомую стратегию социального инжиниринга: сначала они связываются с целевыми пользователями через Telegram, затем на Calendly назначают "встречу", чтобы заставить жертв скачать вредоносный установочный пакет, замаскированный под обновление Zoom. Это программное обеспечение обходило механизм безопасности Apple с помощью "сайдлоадинга" и успешно работало на устройстве.

Особенность NimDoor заключается в том, что он написан на малораспространенном языке программирования Nim, который редко используется в вредоносном ПО, что также позволяет ему избежать текущей базы вирусов Apple. После установки эта задняя дверь будет:

Соберите пароли, сохраненные в браузере;

Кража локальной базы данных Telegram;

Извлечение файла шифрования Кошелька;

И создать элементы запуска для входа в систему, чтобы обеспечить постоянную работу и загрузку последующих модулей атаки.

SentinelLabs рекомендует:

Шифрование компании должны запретить все неподписанные установочные пакеты;

Загружайте обновления Zoom только с официального сайта zoom.us;

Проверьте список контактов Telegram и будьте осторожны с незнакомыми аккаунтами, которые активно отправляют исполняемые файлы.

Эта атака является частью продолжающихся атак Северной Кореи на индустрию Web3. Ранее Interchain Labs сообщила, что команда проекта Cosmos случайно наняла северокорейских разработчиков. В то же время Министерство юстиции США обвинило нескольких подозреваемых из Северной Кореи в том, что они отмывали более 900 000 долларов украденной криптовалюты через Tornado Cash, выдавая себя за граждан США и планируя несколько кибератак.

Согласно последним оценкам компании по безопасности блокчейна TRM Labs, в первой половине 2025 года хакерские группы, связанные с Северной Кореей, украли более 1,6 миллиарда долларов в шифровании активов. При этом только в результате атаки на Bybit в феврале этого года было нанесено ущерба на 1,5 миллиарда долларов, что составило более 70% всех убытков в Web3 за первую половину года.