Хакеры, связанные с Северной Кореей, используют NimDoor — бэкдор, написанный на языке Nim, — выдавая себя за доверенных контактов в Telegram, чтобы обманом заставить жертв установить его через поддельные обновления Zoom.
Редкий код Nim и бэкдоры AppleScript в NimDoor ускользают от обнаружения, работая на Mac, Windows и Linux и обходя защиту памяти Apple для получения глубокого доступа.
После установки NimDoor крадёт данные криптокошельков, логины браузеров, ключи Telegram, а также запускает кейлоггеры и программы для кражи информации, такие как CryptoBot, выгружая данные и уклоняясь от сканеров.
Хакеры из Северной Кореи активизируют использование нового вредоносного ПО для атак на устройства Apple
Хакеры из Северной Кореи усиливают свои атаки, используя новые штаммы вредоносного ПО, нацеленные на устройства Apple, особенно на криптофирмы, в рамках тщательно продуманной кампании по социальной инженерии.
Исследователи Sentinel Labs Фил Стоукс и Раффаэле Сабато подробно описали фишинговую операцию в отчёте, опубликованном 2 июля. Их выводы показывают, как связанные с Северной Кореей злоумышленники переходят на менее распространённые языки программирования, такие как Nim, что усложняет обнаружение, наряду с бэкдорами AppleScript, которые проникают в систему жертвы.
Фишинговая схема выглядит примерно так: злоумышленники выдают себя за доверенных контактов в таких приложениях, как Telegram, затем заманивают цели на поддельный звонок в Zoom через ссылку Google Meet. Там жертву ожидает поддельный файл «обновление Zoom», и когда она запускает его, на самом деле она устанавливает бэкдор под названием NimDoor, созданный для кражи данных криптокошельков и учётных данных браузера с компьютеров Mac.
Связанные материалы:
* Крипто-хищения достигли рекордного уровня в первом полугодии 2025 года на фоне роста атак, поддерживаемых государством.
* КНДР теперь использует NimDoor.
Объясняя немного проще, NimDoor написан на Nim — редком языке, который позволяет хакерам без особых усилий развёртывать одну и ту же полезную нагрузку в нескольких операционных системах, таких как Mac, Windows, Linux и т. д. В отличие от более распространённых эксплойтов на Go или Rust, необычный «след» Nim затрудняет обнаружение инструментами безопасности.
Хотя ранние этапы атаки следуют знакомой схеме DPRK с использованием социальной инженерии, скриптов-приманок и поддельных обновлений, использование Nim-скомпилированных бинарных файлов в macOS является более необычным выбором.
Исследования Sentinel показывают, что вредоносное ПО обходит встроенную защиту памяти, внедряясь глубже, запуская кейлоггеры, средства записи экрана, захватчики буфера обмена и программу для кражи информации под названием CryptoBot, предназначенную для поиска расширений кошельков в браузерах.
Затем, после активации, полезная нагрузка выполняет несколько действий, таких как кража логинов браузеров, собирает системные данные, захватывает локальную зашифрованную базу данных Telegram и её ключи, а затем незаметно пересылает всё это, ожидая целых десять минут, чтобы обойти сканеры.
Huntress, другая компания по кибербезопасности, сообщила о подобных инцидентах в прошлом месяце, связанных с BlueNoroff — известной группой, поддерживаемой государством Северной Кореи.
Связанные материалы: трёхмесячный рост биткоина демонстрирует признаки усталости по мере роста фиксации прибыли.
Этот пост впервые появился на сайте Crypto News Australia.
Не является инвестиционной рекомендацией.