Фахівці з SentinelLabs виявили нову загрозу в кіберпросторі, пов’язану з хакерами з Північної Кореї. Ця атака націлена на користувачів macOS з метою викрадення криптовалюти та конфіденційних даних, повідомляє TechRadar.
Дослідники ідентифікували шкідливий код, відомий як NimDoor, створений на рідкісній мові програмування Nim. Цей бекдор дозволяє уникати виявлення традиційними антивірусними рішеннями. Після установки NimDoor використовує AppleScript для зв’язку та асинхронних таймерів, що дозволяє шкідливому програмному забезпеченню зберігати себе на пристрої та обходити системи безпеки. Термін «beaconing» у кібербезпеці описує, як шкідливе ПЗ періодично з’єднується з сервером управління, щоб повідомити про свою присутність і отримати команди.
Зазвичай атака починається в Telegram, де жертви отримують повідомлення від фальшивого знайомого з запрошенням на Zoom-зустріч. Коли жертва натискає на посилання, відкривається підроблена сторінка Zoom, що пропонує «оновлення» для участі в дзвінку. Натомість завантажується шкідливий код NimDoor, який викрадає різноманітні дані:
- Історію браузера та пошукові запити;
- Файли cookie та чати Telegram;
- Паролі з macOS Keychain.
«Це викликає занепокоєння з точки зору розвитку кіберможливостей Північної Кореї, особливо в умовах зростаючої популярності дистанційної роботи та помилкового відчуття безпеки серед користувачів Mac», — підкреслили в SentinelLabs.
Групи хакерів з Північної Кореї, зокрема відома Lazarus Group, раніше викрадали кошти у криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони викрали понад $3,4 мільярда, зокрема:
- Атака на біржу ByBit у лютому 2025 року: приблизно $1,5 млрд у токенах;
- Злом Ronin Bridge у березні 2022 року: близько $600 млн;
- Атака на Poly Network у 2021 році: близько $600 млн.
Експерти рекомендують користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, та встановлювати оновлення лише з офіційних джерел, а не з браузерних спливаючих вікон.
