North Korean Hackers Exploit Apple Devices with NimDoor Malware

Binance News · 2025-07-07T07:40:18.000Z

According to ShibDaily, North Korean hackers have launched a new cyberattack campaign targeting cryptocurrency companies by deploying a sophisticated malware strain known as NimDoor. This malware is designed to infiltrate Apple devices, bypassing built-in memory protections to extract sensitive data from crypto wallets and browsers. The attack begins with social engineering tactics on platforms like Telegram, where hackers pose as trusted contacts to engage victims in conversation. They then invite the target to a fake Zoom meeting, disguised as a Google Meet session, and send a file that mimics a legitimate Zoom update. This file serves as the delivery method for the malicious payload. Once executed, the malware installs NimDoor on the victim's device, which proceeds to harvest sensitive information, specifically targeting cryptocurrency wallets and stored browser credentials. Researchers at cybersecurity firm SentinelLabs uncovered this new tactic, noting that the use of the Nim programming language sets this malware apart. Nim-compiled binaries are rarely seen targeting macOS, making the malware less recognizable to conventional security tools and potentially more difficult to analyze and detect. The researchers observed that North Korean threat actors have previously experimented with programming languages like Go and Rust, but the shift toward Nim reflects a strategic advantage due to its cross-platform capabilities. This allows the same codebase to run on Windows, Linux, and macOS without modification, increasing the efficiency and reach of their attacks. The malicious payload includes a credential-stealing component engineered to discreetly harvest browser and system-level data, bundle the information, and transmit it to the attackers. Additionally, the researchers identified a script within the malware that targets Telegram by extracting both its encrypted local database and the corresponding decryption keys. Notably, the malware employs a delayed activation mechanism, waiting ten minutes before executing its operations in an apparent effort to evade security scanners.

Według ShibDaily północnokoreańscy hakerzy uruchomili nową kampanię cyberataków, celując w firmy kryptowalutowe poprzez wdrożenie wyrafinowanej odmiany złośliwego oprogramowania znanej jako NimDoor. To złośliwe oprogramowanie jest zaprojektowane do infiltracji urządzeń Apple, omijając wbudowane zabezpieczenia pamięci w celu wydobycia wrażliwych danych z portfeli kryptowalutowych i przeglądarek.
Atak zaczyna się od taktyk inżynierii społecznej na platformach takich jak Telegram, gdzie hakerzy podszywają się pod zaufane kontakty, aby zaangażować ofiary w rozmowę. Następnie zapraszają cel do fałszywego spotkania na Zoomie, przebranym za sesję Google Meet, i wysyłają plik, który imituje legalną aktualizację Zooma. Ten plik służy jako metoda dostarczenia złośliwego ładunku. Po uruchomieniu złośliwe oprogramowanie instaluje NimDoor na urządzeniu ofiary, które następnie przystępuje do zbierania wrażliwych informacji, celując szczególnie w portfele kryptowalutowe i zapisane dane logowania w przeglądarkach.
Badacze z firmy zajmującej się cyberbezpieczeństwem SentinelLabs odkryli tę nową taktykę, zauważając, że użycie języka programowania Nim wyróżnia to złośliwe oprogramowanie. Binaries skompilowane w Nim rzadko są widywane w atakach na macOS, co sprawia, że złośliwe oprogramowanie jest mniej rozpoznawalne dla konwencjonalnych narzędzi zabezpieczających i potencjalnie trudniejsze do analizy i wykrycia. Badacze zauważyli, że północnokoreańscy aktorzy zagrożeń wcześniej eksperymentowali z językami programowania takimi jak Go i Rust, ale przejście na Nim odzwierciedla strategiczną przewagę dzięki jego możliwościom wieloplatformowym. Umożliwia to uruchomienie tego samego kodu na Windowsie, Linuxie i macOS bez modyfikacji, zwiększając efektywność i zasięg ich ataków.
Złośliwy ładunek zawiera komponent kradnący dane uwierzytelniające, zaprojektowany do dyskretnego zbierania danych dotyczących przeglądarek i systemu, łączenia informacji i przesyłania ich do atakujących. Dodatkowo badacze zidentyfikowali skrypt w złośliwym oprogramowaniu, który celuje w Telegram, wydobywając zarówno jego zaszyfrowaną lokalną bazę danych, jak i odpowiadające klucze deszyfrujące. Co ważne, złośliwe oprogramowanie stosuje mechanizm opóźnionej aktywacji, czekając dziesięć minut przed wykonaniem swoich operacji, co widać w wysiłkach na rzecz unikania skanerów zabezpieczeń.

Hakerzy z Korei Północnej wykorzystują urządzenia Apple za pomocą złośliwego oprogramowania NimDoor

Najnowsze wiadomości