Специалисты из SentinelLabs обнаружили новую кибератаку, осуществляемую хакерами, связанными с Северной Кореей, нацеленной на пользователей macOS с целью кражи криптовалюты и другой конфиденциальной информации, сообщает TechRadar.

Они идентифицировали бекдор под названием NimDoor, написанный на относительно редком языке программирования Nim, что позволяет ему избегать обнаружения традиционным антивирусным ПО. После установки NimDoor использует AppleScript для связи и асинхронных таймеров сна, что позволяет вредоносному ПО оставаться незамеченным в системе и обходить средства безопасности. Следует отметить, что термин "beaconing" в кибербезопасности обозначает методику, с помощью которой вредоносное ПО периодически связывается с сервером управления, чтобы сообщать о своем присутствии.

Атака обычно начинается в Telegram: жертвы получают сообщение от вымышленного доверенного контакта с приглашением на Zoom-встречу. При нажатии на ссылку открывается поддельная страница Zoom с запросом установить "обновление" для участия в звонке. Вместо этого загружается вредоносный код NimDoor, который крадет разнообразные данные:

• Историю просмотров в браузере и поисковые запросы;
• Файлы cookie и чаты в Telegram;
• Пароли из macOS Keychain.

"Это вызывает беспокойство по поводу развития киберспособностей Северной Кореи, особенно с учетом эксплуатации тенденции удаленной работы и ложного чувства безопасности среди пользователей Mac", — отметили в SentinelLabs.

Государственные хакерские группы Северной Кореи, в частности известная Lazarus Group, ранее уже крали средства в криптовалюте для финансирования своих программ. С 2021 года до начала 2025 года они украли более $3,4 миллиарда, включая:

• Атака на биржу ByBit в феврале 2025 года: около $1,5 миллиарда в токенах;
• Взлом Ronin Bridge в марте 2022 года: около $600 миллионов;
• Атака на Poly Network в 2021 году: около $600 миллионов.

Эксперты советуют всем пользователям macOS быть осторожными: не открывать подозрительные ссылки, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.