Північнокорейські хакери використовують фальшиве оновлення Zoom для поширення шкідливих програм "NimDoor" для macOS, націлених на Криптоактиви.

Згідно з повідомленням The Block: SentinelLabs попереджає, що північнокорейські хакери використовують вірус-задній двері NimDoor, замаскований під оновлення Zoom, щоб атакувати системи macOS, крадучи дані та паролі гаманець.

Безпекова компанія SentinelLabs у своєму останньому дослідженні попереджає, що північнокорейська хакерська група використовує новий macOS бекдор вірус під назвою NimDoor, щоб інфікувати пристрої Apple, вторгатися в компанії з криптовалютами та красти гаманець облікові дані та паролі браузера.

Цей вірус прихований у підробленому оновленні Zoom, поширюється переважно через соціальну платформу Telegram. Зловмисники використовують знайомі стратегії соціальної інженерії: спочатку через Telegram зв'язуються з цільовими користувачами, а потім на Calendly планують "зустріч", підштовхуючи жертву завантажити шкідливий інсталяційний пакет, замаскований під оновлення Zoom. Це програмне забезпечення обійшло механізми безпеки Apple через метод "旁加载" (sideloading) і успішно запустилося на пристрої.

Особливість NimDoor полягає в тому, що він написаний мовою програмування Nim, яка рідко використовується в шкідливому ПО, що дозволяє йому уникати виявлення в поточній антивірусній базі Apple. Після встановлення ця задня дверця буде:

Збір збережених паролів браузера;

Викрадення локальної бази даних Telegram;

Витяг файлу гаманець для шифрування;

і створити елементи запуску для входу, забезпечити постійну роботу та завантажити наступні модулі атаки.

SentinelLabs рекомендує:

Компаніям, що займаються шифруванням, слід заборонити всі незаписані пакети.

Завантажуйте оновлення Zoom лише з офіційного сайту zoom.us;

Перевірте список контактів Telegram, будьте обережні з незнайомими акаунтами, які активно надсилають виконувані файли.

Цей напад є частиною тривалої кампанії Північної Кореї проти індустрії Web3. Раніше Interchain Labs повідомили, що команда проекту Cosmos випадково найняла північнокорейських розробників. Тим часом, Міністерство юстиції США також звинуватило кількох підозрюваних з Північної Кореї в тому, що вони через Tornado Cash відмили понад 900000 доларів викрадених шифрованих коштів, ці особи видавали себе за громадян США та планували кілька кібератак.

Згідно з останніми оцінками компанії з безпеки блокчейну TRM Labs, у першій половині 2025 року хакерські групи, пов'язані з Північною Кореєю, вкрали понад 1,6 мільярда доларів у криптоактивах. При цьому лише атака на Bybit у лютому цього року завдала збитків у 1,5 мільярда доларів, що становить понад 70% усіх криптозбитків у Web3 за першу половину року.