Signalé par The BlockL SentinelLabs avertit que des groupes nord-coréens utilisent un backdoor macOS NimDoor inhabituel, caché dans de fausses mises à jour Zoom, pour voler des données de portefeuille de cryptomonnaie et des mots de passe.
La menace fait suite à une série d'exploits de la RPDC qui ont extrait plus de 1,6 milliard de dollars de sociétés de cryptomonnaie au cours du premier semestre 2025, selon TRM Labs.
Un groupe de menace nord-coréen infecte les appareils Apple avec un nouveau virus informatique appelé NimDoor pour infiltrer les entreprises de cryptomonnaie et voler les informations d'identification des portefeuilles, a averti la société de sécurité SentinelLabs dans un rapport de recherche.
Les attaquants envoient des messages aux cibles sur Telegram, une tactique de manipulation sociale bien connue employée par les cybercriminels. Les pirates informatiques organisent ensuite une réunion malveillante via Calendly et incitent les victimes à télécharger une fausse mise à jour de Zoom avec un logiciel malveillant qui s'exécute sans déclencher les vérifications de sécurité d'Apple.
L'implant se distingue car il a été écrit en Nim, un langage de programmation de niche rarement utilisé dans les logiciels malveillants. SentinelLabs a déclaré que les signatures de protection intégrées d'Apple n'identifient pas encore NimDoor, donnant au backdoor un libre accès aux machines alimentées par macOS. Une fois installé, il collecte les mots de passe des navigateurs, les bases de données Telegram et les fichiers de portefeuille de cryptomonnaie, puis ouvre un agent d'élément de connexion qui recharge le logiciel malveillant et tire des charges utiles de suivi.
Pour remédier au problème, SentinelLabs a exhorté les sociétés de cryptomonnaie à bloquer les packages d'installation non signés, à vérifier les mises à jour de Zoom uniquement à partir de zoom.us, et à auditer les listes de contacts Telegram pour de nouveaux profils qui poussent des fichiers exécutables.
L'avertissement s'ajoute à un arsenal nord-coréen en pleine expansion. La semaine dernière, Interchain Labs a révélé que les mainteneurs de Cosmos avaient involontairement embauché un développeur nord-coréen, et les procureurs américains ont inculpé des ressortissants de la RPDC pour blanchiment de plus de 900 000 dollars de cryptomonnaie volée via Tornado Cash. Le ministère de la Justice américain indique que les opérateurs se faisaient passer pour des citoyens américains dans plusieurs plans pour voler des données à des entreprises américaines. TRM Labs estime que des groupes liés à la Corée du Nord ont pompé 1,6 milliard de dollars d'opérateurs de web3 au cours du premier semestre 2025, dirigés par la violation de 1,5 milliard de dollars de Bybit en février. Cela représente plus de 70% de toutes les pertes de cryptomonnaie au premier semestre, selon la startup de sécurité.