03.07.2025
1 хв
575
Державні хакери з Північної Кореї розгорнули нову серію атак із використанням macOS-шкідника NimDoor, який відновлюється після спроби ліквідації та викрадає криптовалютні активи. Малваре спроможне повертати свої файли після завершення процесу, обходить стандартний захист macOS і орієнтоване на Web3-компанії, зокрема через фейкові оновлення Zoom SDK, розповсюджені в Telegram і через Calendly.
Дослідники з SentinelOne повідомляють, що NimDoor складається з трьох компонентів:
Особливість — у нестандартній механіці сигнал-персистентності, коли вірус не просто запускається наново, а перевстановлюється з нуля, зберігаючи повну функціональність навіть після спроб його знищити. Він також використовує AppleScript для бекдор-доступу, надсилаючи інформацію на сервер атакуючих кожні 30 секунд.
Додатково запускається ще одна гілка атаки — через zoom_sdk_support.scpt, яка:
upl викрадає Keychain, історію терміналу, логіни з браузерів,
tlgrm викрадає базу Telegram та зашифровані ключі.
Це перша масштабна кампанія, де використано мову Nim для написання шкідливого коду під macOS, з чіткою адаптацією під багатокомпонентну архітектуру системи Apple. За останній рік Північна Корея вже фігурувала у кібератаках через:
фальшиві відеозустрічі з deepfake-участю,
фейкові додатки Ledger для крадіжки seed-фраз,
атаки на Web3 через npm-пакети.
Це свідчить про перехід КНДР до міжплатформенного шпигунства, з розширенням арсеналу від Windows до macOS. Замість примітивних вірусів — тепер держава-актор використовує кросплатформенну багаторівневу архітектуру з нестандартними методами виживання. Це нова реальність, в якій навіть завершення процесу не означає кінець загрози. Захист macOS потребує нових стратегій: поведінкового аналізу, sandbox-відстеження та моніторингу системних сигналів.
