Експерти з SentinelLabs виявили нещодавно нову кібератаку, що здійснюється хакерами, пов'язаними з Північною Кореєю, на користувачів macOS з метою крадіжки криптовалюти та іншої важливої інформації, як повідомляє TechRadar.

Фахівці визначили бекдор, який отримав назву NimDoor, створений на рідкісній мові програмування Nim, що дозволяє уникати виявлення звичайними антивірусними програмами. Після його встановлення NimDoor використовує AppleScript для зв'язку та асинхронних таймерів сну, що забезпечує шкідливому ПЗ можливість залишатися в системі та обходити захисні механізми. Важливо зазначити, що термін зв'язок у кібербезпеці означає метод, за допомогою якого шкідливе програмне забезпечення періодично, часто через рівні проміжки часу, підключається до сервера управління та контролю (C2), щоб повідомити про свою присутність і отримати інструкції чи передати дані.

Зазвичай атака стартує в Telegram: жертвам надходить повідомлення від фальшивого довіреного контакту з запрошенням на Zoom-зустріч. Коли користувач натискає на посилання, відкривається підроблена сторінка Zoom, що просить встановити "оновлення" для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітну інформацію:

• Історію переглядів браузера та пошукові запити;
• Файли cookie та чати в Telegram;
• Паролі з macOS Keychain.

"Це викликає занепокоєння щодо розвитку кіберможливостей Північної Кореї, особливо враховуючи популярність дистанційної роботи та хибне почуття безпеки серед користувачів Mac", — повідомили в SentinelLabs.

Групи хакерів, підтримувані державою Північної Кореї, такі як відома Lazarus Group, вже раніше викрадали криптовалюту для фінансування своїх програм. В період з 2021 до початку 2025 року вони викрали понад $3,4 мільярда, зокрема:

• Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
• Злом Ronin Bridge у березні 2022 року: близько $600 млн;
• Атака на Poly Network у 2021 році: близько $600 млн.

Експерти рекомендують усім користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, і здійснювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.