Secondo ShibDaily, gli hacker nordcoreani hanno lanciato una nuova campagna di attacco informatico mirata alle aziende di criptovalute, utilizzando un sofisticato ceppo di malware noto come NimDoor. Questo malware è progettato per infiltrarsi nei dispositivi Apple, eludendo le protezioni della memoria integrate per estrarre dati sensibili dai portafogli crypto e dai browser.

L'attacco inizia con tattiche di ingegneria sociale su piattaforme come Telegram, dove gli hacker si spacciano per contatti fidati per coinvolgere le vittime in conversazione. Poi invitano la vittima a una finta riunione Zoom, camuffata da sessione Google Meet, e inviano un file che imita un aggiornamento legittimo di Zoom. Questo file funge da metodo di consegna per il payload maligno. Una volta eseguito, il malware installa NimDoor sul dispositivo della vittima, che procede a raccogliere informazioni sensibili, mirate specificamente ai portafogli di criptovalute e alle credenziali memorizzate nel browser.

I ricercatori della società di cyber sicurezza SentinelLabs hanno scoperto questa nuova tattica, notando che l'uso del linguaggio di programmazione Nim distingue questo malware. I file binari compilati in Nim sono raramente visti mirare a macOS, rendendo il malware meno riconoscibile per gli strumenti di sicurezza convenzionali e potenzialmente più difficile da analizzare e rilevare. I ricercatori hanno osservato che gli attori delle minacce nordcoreani hanno precedentemente sperimentato con linguaggi di programmazione come Go e Rust, ma il passaggio a Nim riflette un vantaggio strategico grazie alle sue capacità cross-platform. Questo consente alla stessa base di codice di funzionare su Windows, Linux e macOS senza modifiche, aumentando l'efficienza e la portata dei loro attacchi.

Il payload maligno include un componente di furto di credenziali progettato per raccogliere in modo discreto dati a livello di browser e di sistema, raggruppare le informazioni e trasmetterle agli attaccanti. Inoltre, i ricercatori hanno identificato uno script all'interno del malware che prende di mira Telegram estraendo sia il suo database locale crittografato che le chiavi di decrittazione corrispondenti. È importante notare che il malware utilizza un meccanismo di attivazione ritardata, aspettando dieci minuti prima di eseguire le sue operazioni in un apparente sforzo per eludere gli scanner di sicurezza.