За даними The Block, SentinelLabs попереджує, що північнокорейські групи використовують незвичайний macOS ворота задніка NimDoor, прихований у фальшивих оновленнях Zoom, для крадіжки даних гаманців для криптовалют та паролів.
Загрозу слідує ряд DPRK-експлойтів, які видобули понад 1,6 мільярд доларів з криптовалютних фірм у першому півріччі 2025 року, зазначає TRM Labs.
Північнокорейська група загроз заражає пристрої Apple новим комп'ютерним вірусом під назвою NimDoor для інфільтрації криптовалютних компаній та крадіжки облікових даних гаманців, попередила компанія з безпеки SentinelLabs у дослідному звіті.
Атакувальники надсилають повідомлення цілям в Telegram, знайома тактика соціальної інженерії, яку використовують кіберзлочинці. Потім хакери організовують зустрічі через Calendly та спокушають жертв завантажити фальшиве оновлення Zoom, завантажене зі шкідливим кодом, який працює без виклику заходів безпеки Apple.
Імплант відрізняється тим, що він був написаний на мові програмування Nim, рідко використовуваній у шкідливому коді. SentinelLabs заявила, що вбудовані підписи на захист компанії Apple ще не реагують на NimDoor, що дає заднім воротам можливість вільно проникнути на пристрої на базі macOS. Після встановлення воно збирає паролі в браузерах, бази даних Telegram та файли гаманців для криптовалют, а потім відкриває агента для входу в систему, який перезавантажує шкідливий код та завантажує подальші навантаження.
Для вирішення проблеми компанія SentinelLabs закликала криптовалютні фірми блокувати непідписані пакети встановлення, перевіряти оновлення Zoom лише з zoom.us та аудитувати списки контактів в Telegram на наявність нових профілів, які поширюють виконавчі файли.
Це попередження додається до зростаючого DPRK-плеєра. На минулому тижні Interchain Labs розкрили, що інтерчейн-розробники несподівано найняли північнокорейського розробника, а прокурори США звинуватили громадян DPRK у відмиванні більше 900 000 доларів украдених криптовалют через Tornado Cash. Міністерство юстиції США каже, що оперативники видали себе за американських громадян у декількох схемах, щоб викрасти дані від компаній США. TRM Labs оцінює, що групи, пов'язані з Північною Кореєю, відкачали 1,6 мільярда доларів у операторів веб3 у першому півріччі 2025 року, очолюючи порушення на суму 1,5 мільярда доларів в Bybit у лютому. Це понад 70% усіх втрат криптовалют у першому півріччі за даними стартапу захисту.