Kuzey Koreli hackerlar sahte Zoom güncellemeleri kullanarak Kripto Varlıklar şirketlerine yönelik "NimDoor" macOS kötü amaçlı yazılımını yaymakta.

The Block'a göre: SentinelLabs, Kuzey Koreli hackerların Zoom güncellemesi olarak gizlenmiş NimDoor arka kapı virüsü kullanarak macOS sistemlerini hedef aldığını ve şifreleme cüzdan verileri ile şifrelerini çaldığını uyardı.

Güvenlik şirketi SentinelLabs, en son araştırma raporunda, bir Kuzey Kore siber saldırı grubunun, Apple cihazlarını enfekte ederek kripto para şirketlerine sızmak ve cüzdan kimlik bilgilerini ile tarayıcı şifrelerini çalmak için NimDoor adlı yeni bir macOS arka kapı virüsü kullandığını uyardı.

Bu virüs, sahte Zoom güncelleme programında gizlenmiş olup, yayılma yöntemi esasen Telegram sosyal platformu üzerinden gerçekleştirilmektedir. Saldırganlar, tanıdık sosyal mühendislik stratejileri kullanarak önce Telegram'dan hedef kullanıcılarla iletişime geçiyor, ardından Calendly üzerinden "toplantı" ayarlayarak mağdurları Zoom güncellemesi olarak gizlenmiş kötü amaçlı yükleme paketini indirmeye ikna ediyor. Bu yazılım, Apple'ın güvenlik denetim mekanizmasını aşmak için "yan yükleme" (sideloading) yöntemiyle cihazda başarılı bir şekilde çalışmaktadır.

NimDoor'un özel yanı, nadiren kötü amaçlı yazılımlarda kullanılan niş bir programlama dili olan Nim ile yazılmış olmasıdır; bu da onun Apple'ın mevcut virüs veritabanı tanımasından kaçmasına olanak tanır. Kurulduğunda, bu arka kapı şunları yapacaktır:

Tarayıcıda kaydedilen şifreleri topla;

Telegram yerel veritabanını çalmak;

Şifreleme cüzdan dosyasını çıkartın;

Ve giriş başlangıç öğesi oluşturun, kalıcı çalışmayı gerçekleştirin ve sonraki saldırı modüllerini indirin.

SentinelLabs öneriyor:

şifreleme şirketleri tüm imzasız yükleme paketlerini yasaklamalıdır;

Sadece zoom.us resmi web sitesinden Zoom güncellemelerini indirin;

Telegram kişi listesini gözden geçirin, çalıştırılabilir dosya gönderen tanımadığınız hesaplara dikkat edin.

Bu saldırı, Kuzey Kore'nin Web3 endüstrisine yönelik sürekli saldırı eylemlerinin bir parçasıdır. Daha önce, Interchain Labs, Cosmos proje ekibinin bir dönem Kuzey Koreli geliştiricileri istemeden istihdam ettiğini açıklamıştı. Aynı zamanda, ABD Adalet Bakanlığı, birkaç Kuzey Koreli şüpheliyi, Tornado Cash aracılığıyla 900.000 dolardan fazla çalınan şifrelenmiş parayı aklamakla suçladı; bu kişiler, Amerikan vatandaşlarının kimliğini taklit ederek birçok siber saldırı planladı.

Blockchain güvenliği şirketi TRM Labs'ın son tahminlerine göre, 2025 yılının ilk yarısında, Kuzey Kore ile bağlantılı hacker grupları toplamda 1.6 milyar doların üzerinde şifreleme varlığı çaldı. Bunların arasında, bu yıl Şubat ayında gerçekleşen Bybit saldırısı 1.5 milyar dolarlık bir kayba yol açarak, ilk yarıda Web3'teki tüm şifreleme kayıplarının %70'inden fazlasını oluşturdu.