Сообщает The BlockL SentinelLabs предупреждает, что северокорейские группы используют необычный бэкдор NimDoor для macOS, скрытый в поддельных обновлениях Zoom, чтобы красть данные кошельков для криптовалюты и пароли.
Угроза следует за серией эксплойтов от КНДР, которые извлекли более $1.6 миллиарда из компаний криптовалют в первой половине 2025 года, согласно TRM Labs.
Группа угроз из Северной Кореи инфицирует устройства Apple новым вирусом под названием NimDoor, чтобы проникнуть в компании криптовалют и украсть учётные данные кошельков, предупредила служба безопасности SentinelLabs в исследовательском отчете.
Атакующие посылают сообщения целям в Telegram, знакомая тактика социальной инженерии, используемая киберпреступниками. Злоумышленники затем организуют злонамеренную встречу через Calendly и заманивают жертв в загрузку поддельного обновления Zoom, снабженного вредоносным ПО, которое работает, не запуская проверки безопасности Apple.
Имплант отличается тем, что был написан на Nim, узком языке программирования, редко используемом в вредоносном ПО. SentinelLabs сказала, что встроенные сигнатуры защиты Apple пока не помечают NimDoor, предоставляя бэкдору свободный доступ на устройствах под управлением macOS. После установки он собирает пароли браузера, базы данных Telegram и файлы кошельков для криптовалют, а затем запускает агента для повторной загрузки вредоносного ПО и привлекает последующие полезные нагрузки.
Для решения проблемы SentinelLabs призвала криптофирмы блокировать неподписанные пакеты установщика, проверять обновления Zoom только с zoom.us и проверять списки контактов Telegram на наличие новых профилей, которые размещают исполняемые файлы.
Это предупреждение добавляется к растущему арсеналу КНДР. На прошлой неделе Interchain Labs раскрыла, что администраторы Cosmos непреднамеренно наняли разработчика из Северной Кореи, а прокуроры США обвинили граждан КНДР в отмывании более чем $900,000 в украденной криптовалюте через Tornado Cash. Министерство юстиции США говорит, что оперативники выдают себя за американских граждан в нескольких схемах для кражи данных у американских компаний. TRM Labs оценивает, что группы, связанные с Северной Кореей, отмывали $1.6 миллиарда у операторов web3 в первой половине 2025 года, возглавленные нарушением безопасности Bybit на $1.5 миллиарда в феврале. Это более 70% всех потерь криптовалюты в первом полугодии, согласно стартапу в области безопасности.