Дослідники виявили нову й дуже просунуту кібератаку на macOS, спрямовану на стартапи у сфері Web3 і криптовалют. Група хакерів з Північної Кореї розповсюджує шкідливе ПЗ під виглядом оновлення Zoom SDK для крадіжки даних та стійкого доступу до систем. Про це пише 9to5Mac.
Що таке NimDoor і як працює атака
Компанія SentinelLabs назвала цей зловмисний безпековий інструмент NimDoor. Його особливості включають:
- Комплексний ланцюг атак із використанням AppleScript, Bash, C++ та мови Nim.
- Використання процесної ін’єкції та захищених WebSocket (wss) для спілкування з C2-серверами.
- Механізм персистентності через обробку сигналів SIGINT/SIGTERM, що дозволяє шкіднику «самовідновлюватися» навіть після спроби видалення або перезавантаження.
Як відбувається зараження пристрою
- Через Telegram атакувальники видають себе за знайомих і запрошують на Zoom-дзвінок — згодом надсилають фейковий Zoom‑лінк і скрипт-оновлення.
- AppleScript‑скрипт завантажує другий етап — Bash‑тригери, що викрадають Keychain, дані браузера й Telegram.
- Nim-і C++‑бінарі встановлюються як «GoogIe LLC», «installer» і «CoreKitAgent», налаштовуючи автозапуск через LaunchAgent і стійкий зв’язок із C2.
Які дані під загрозою
Шкідливе ПЗ NimDoor націлене на викрадення конфіденційної інформації з macOS-пристроїв. Зловмисники отримують доступ до контактів і паролів, збережених у системному сховищі Keychain, а також до історії браузерів, включно з Chrome, Brave, Firefox, Edge та Arc. Окремо виділяється збір даних із месенджера Telegram — зловмисники завантажують базу повідомлень та тимчасові ключі, що може дати їм доступ до облікових записів жертв.
Як захиститися: поради
- Не встановлюйте оновлення, отримані через підозрілі Zoom‑повідомлення або Telegram.
- Активуйте двофакторну автентифікацію та регулярні резервні копії.
- Використовуйте антивірус із підтримкою macOS і власну хмарну синхронізацію замість локального Keychain для чутливих даних.
