NimDoor: хакери КНДР розповсюджують macOS-шкідник під виглядом оновлень Zoom
Група хакерів, пов’язана з північнокорейським режимом, застосовує новий бекдор NimDoor для нападів на компанії, що займаються криптовалютами. Як повідомляє SentinelLabs, цей шкідливий програмний продукт приховується під виглядом оновлення Zoom і проникає в пристрої на базі macOS, обходячи захист Apple.
Зловмисники контактують з жертвами через Telegram, видаючи себе за надійного співрозмовника. Після цього вони надсилають запрошення на фальшиву зустріч через Calendly та посилання на нібито оновлення месенджера Zoom, яке насправді містить шкідливий код.
NimDoor викрадає паролі з веб-браузерів, дані з Telegram та файли криптогаманців, а також створює фоновий процес для повторного запуску та завантаження додаткових елементів.
Вірус написано мовою Nim. За словами фахівців Sentinel, ця мова практично не використовується для створення шкідливих програм для macOS, що ускладнює його виявлення.
SentinelLabs рекомендує криптовалютним компаніям блокувати непідписані інсталяційні файли, перевіряти оновлення Zoom лише через сайт zoom.us та ретельно перевіряти нові контакти в Telegram.
Нагадаємо, що згідно з даними TRM Labs, у першій половині 2025 року північнокорейські хакерські групи вкрали $1,6 млрд у Web3-компаній — це приблизно 70% від усіх втрат через зломи в цій індустрії за вказаний період.
Найсерйознішим інцидентом став злом Bybit у лютому, що призвів до збитків приблизно $1,5 млрд. Крім того, зловмисники атакують криптофахівців через підроблені інтерв’ю та намагаються отримати роботу в криптовалютних компаніях.
