Новые угрозы для пользователей macOS были выявлены экспертами из SentinelLabs, которые зафиксировали кибератаку, осуществляемую хакерами из Северной Кореи, нацеленную на кражу криптовалюты и конфиденциальной информации, как сообщает TechRadar.

Исследователи обнаружили бэкдор под названием NimDoor, написанный на относительно редком языке программирования Nim, что помогает избежать обнаружения традиционными антивирусами. После установки NimDoor использует AppleScript для связи с командным сервером и асинхронных таймеров сна, что позволяет вредоносному ПО оставаться незамеченным в системе и обходить меры безопасности. Важно отметить, что термин "beaconing" в кибербезопасности относится к технике, с помощью которой вредоносное ПО периодически связывается с сервером управления и контроля (C2), чтобы сообщить о своем присутствии и получить команды или передать данные.

Атака обычно начинается в Telegram: жертвам отправляется сообщение от вымышленного доверенного контакта с приглашением на Zoom-встречу. При нажатии на ссылку открывается поддельная страница Zoom с предложением установить "обновление" для участия в звонке. В результате загружается вредоносный код NimDoor, который крадет различные данные:

• История просмотров в браузере и поисковые запросы;
• Файлы cookie и чаты в Telegram;
• Пароли из macOS Keychain.

"Это вызывает беспокойство в отношении роста киберспособностей Северной Кореи, особенно в свете увеличения тренда удаленной работы и ложного чувства безопасности среди пользователей Mac", — отметили специалисты из SentinelLabs.

Государственные хакерские группы Северной Кореи, включая известную Lazarus Group, уже ранее крали средства в криптовалюте для финансирования своих программ. С 2021 по начало 2025 года они украли более $3,4 миллиарда, в том числе:

• Атака на биржу ByBit в феврале 2025 года: около $1,5 миллиарда в токенах;
• Взлом Ronin Bridge в марте 2022 года: около $600 миллионов;
• Атака на Poly Network в 2021 году: около $600 миллионов.

Эксперты советуют всем пользователям macOS быть осторожными: избегать подозрительных ссылок, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.