Нові загрози для користувачів macOS були виявлені експертами з SentinelLabs, які зафіксували кібератаку, що здійснюється хакерами з Північної Кореї, націлену на крадіжку криптовалюти та конфіденційної інформації, як повідомляє TechRadar.

Дослідники знайшли бекдор, названий NimDoor, написаний мовою програмування Nim, яка не так часто використовується, що допомагає уникати виявлення традиційними антивірусами. Після установки NimDoor використовує AppleScript для зв'язку з командним сервером та асинхронних таймерів сну, що дає змогу шкідливому ПО залишатися непоміченим у системі та обходити заходи безпеки. Важливо відзначити, що термін "beaconing" у кібербезпеці означає техніку, за допомогою якої шкідливе ПЗ періодично зв'язується з сервером управління та контролю (C2), щоб повідомити про свою присутність і отримати команди або передати дані.

Атака зазвичай починається через Telegram: жертвам надсилається повідомлення від вигаданого довіреного контакту з запрошенням на Zoom-зустріч. При натисканні на посилання відкривається підроблена сторінка Zoom, яка пропонує встановити "оновлення" для участі в дзвінку. В результаті завантажується шкідливий код NimDoor, який викрадає різноманітні дані:

• Історія переглядів у браузері та пошукові запити;
• Файли cookie та чати в Telegram;
• Паролі з macOS Keychain.

"Це викликає занепокоєння щодо розвитку кіберможливостей Північної Кореї, особливо у світлі зростаючого тренду дистанційної роботи та ілюзорного відчуття безпеки серед користувачів Mac", — зазначили фахівці з SentinelLabs.

Державні хакерські групи Північної Кореї, зокрема відомі Lazarus Group, вже раніше викрадали кошти в криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони викрали понад $3,4 мільярда, серед яких:

• Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
• Злом Ronin Bridge у березні 2022 року: близько $600 млн;
• Атака на Poly Network у 2021 році: близько $600 млн.

Експерти радять користувачам macOS бути обережними: уникати підозрілих посилань, навіть якщо вони надходять від знайомих, та встановлювати оновлення лише через офіційні канали, а не з браузерних спливаючих вікон.