Фахівці з SentinelLabs виявили нову кібератаку, що походить від хакерів, пов'язаних із Північною Кореєю, спрямовану на користувачів macOS з метою викрадення криптовалюти та інших конфіденційних даних, як повідомляє TechRadar.

Дослідники виявили бекдор, відомий як NimDoor, який написаний на маловідомій мові програмування Nim, що дозволяє йому уникати виявлення традиційними антивірусними програмами. Після установки NimDoor використовує AppleScript для зв'язку та асинхронних таймерів сну, що дає можливість шкідливому програмному забезпеченню залишатися непоміченим у системі та обходити засоби безпеки. У кібербезпеці термін "beaconing" використовується для опису методики, якою шкідливе ПЗ регулярно зв'язується із сервером управління для передачі інформації про свою присутність.

Атака зазвичай починається через Telegram: жертви отримують повідомлення від уявного довіреного контактера з запрошенням на Zoom-зустріч. Натискаючи на посилання, користувачі потрапляють на підроблену сторінку Zoom, де їх просять встановити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітні дані:

• Історію переглядів у браузері та запити в пошукових системах;
• Файли cookie та повідомлення в Telegram;
• Паролі з macOS Keychain.

"Це викликає занепокоєння щодо розвитку кіберможливостей Північної Кореї, особливо з огляду на тенденцію до віддаленої роботи та хибне відчуття безпеки серед користувачів Mac", — зазначили в SentinelLabs.

Державні хакерські групи з Північної Кореї, зокрема відома Lazarus Group, раніше вже викрадали криптовалюту для фінансування своїх програм. З 2021 до початку 2025 року вони вкрали понад $3,4 мільярда, зокрема:

• Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
• Злом Ronin Bridge у березні 2022 року: близько $600 млн;
• Атака на Poly Network у 2021 році: близько $600 млн.

Експерти радять всім користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони приходять від знайомих, і встановлювати оновлення лише через офіційні канали, а не через спливаючі вікна браузера.