Специалисты из SentinelLabs обнаружили новую угрозу в киберпространстве, связанную с хакерами из Северной Кореи. Эта атака нацелена на пользователей macOS с целью кражи криптовалюты и конфиденциальных данных, сообщает TechRadar.

Исследователи идентифицировали вредоносный код под названием NimDoor, созданный на редком языке программирования Nim. Этот бекдор помогает избегать обнаружения традиционными антивирусными решениями. После установки NimDoor использует AppleScript для связи и асинхронных таймеров, позволяя вредоносному ПО сохранять своё присутствие на системе и обходить меры безопасности. Термин «beaconing» в кибербезопасности описывает, как вредоносное ПО периодически соединяется с сервером управления, чтобы сообщить о своём присутствии и получить команды.

Обычно атака начинается в Telegram, где жертвы получают сообщения от вымышленного знакомого с приглашением на Zoom-встречу. Когда жертва нажимает на ссылку, открывается поддельная страница Zoom, предлагающая «обновление» для участия в звонке. Вместо этого загружается вредоносный код NimDoor, который крадет разнообразные данные:

  • Историю браузера и поисковые запросы;
  • Cookies и чаты в Telegram;
  • Пароли из macOS Keychain.

«Это вызывает беспокойство с точки зрения развития киберспособностей Северной Кореи, особенно в условиях растущей популярности удаленной работы и ложного чувства безопасности среди пользователей Mac», — подчеркнули в SentinelLabs.

Группы хакеров из Северной Кореи, в частности известная Lazarus Group, ранее крали средства в криптовалюте для финансирования своих программ. С 2021 по начало 2025 года они украли более 3,4 миллиарда долларов, в том числе:

  • Атака на биржу ByBit в феврале 2025 года: около 1,5 миллиарда долларов в токенах;
  • Взлом Ronin Bridge в марте 2022 года: около 600 миллионов долларов;
  • Атака на Poly Network в 2021 году: около 600 миллионов долларов.

Эксперты рекомендуют пользователям macOS быть осторожными: не открывать подозрительные ссылки, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.

5915 image for slide
zoom Created with Sketch Beta.