Исследователи из SentinelLabs недавно выявили новую кибератаку, осуществляемую хакерами, связанными с Северной Кореей, на пользователей macOS с целью кражи криптовалюты и другой конфиденциальной информации, сообщает TechRadar.

Они идентифицировали бекдор под названием NimDoor, написанный на относительно редком языке программирования Nim, который помогает избегать обнаружения традиционными антивирусами. После установки NimDoor использует AppleScript для обмена данными и асинхронных таймеров сна, что позволяет вредоносному ПО сохранять свое присутствие в системе и обходить средства безопасности. Стоит отметить, что термин обмен данных в кибербезопасности означает технику, при которой вредоносное ПО периодически, часто через равные промежутки времени, связывается с сервером управления и контроля (C2), чтобы сообщить о своем присутствии и получить инструкции или передать данные.

Атака обычно начинается в Telegram: жертвам приходит сообщение от вымышленного доверенного контакта с приглашением на Zoom-встречу. При нажатии на ссылку открывается поддельная страница Zoom с запросом установить "обновление" для участия в звонке. Вместо этого загружается вредоносный код NimDoor, который крадет различные данные:

• История просмотров в браузере и поисковые запросы;
• Файлы cookie и чаты в Telegram;
• Пароли из macOS Keychain.

"Это вызывает озабоченность с точки зрения развития киберспособностей Северной Кореи, особенно с учетом использования тренда удаленной работы и ложного чувства безопасности среди пользователей Mac", — отметили в SentinelLabs.

Группы хакеров, поддерживаемых государством Северной Кореи, такие как известная Lazarus Group, ранее уже крали средства в криптовалюте для финансирования своих программ. С 2021 по начало 2025 года они украли более $3,4 миллиарда, в том числе:

• Атака на биржу ByBit в феврале 2025 года: около $1,5 миллиарда в токенах;
• Взлом Ronin Bridge в марте 2022 года: около $600 миллионов;
• Атака на Poly Network в 2021 году: около $600 миллионов.

Специалисты рекомендуют всем пользователям macOS быть осторожными: не открывать подозрительные ссылки, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.