North Korean Hackers Exploit Apple Devices with NimDoor Malware

Binance News · 2025-07-07T07:40:18.000Z

According to ShibDaily, North Korean hackers have launched a new cyberattack campaign targeting cryptocurrency companies by deploying a sophisticated malware strain known as NimDoor. This malware is designed to infiltrate Apple devices, bypassing built-in memory protections to extract sensitive data from crypto wallets and browsers. The attack begins with social engineering tactics on platforms like Telegram, where hackers pose as trusted contacts to engage victims in conversation. They then invite the target to a fake Zoom meeting, disguised as a Google Meet session, and send a file that mimics a legitimate Zoom update. This file serves as the delivery method for the malicious payload. Once executed, the malware installs NimDoor on the victim's device, which proceeds to harvest sensitive information, specifically targeting cryptocurrency wallets and stored browser credentials. Researchers at cybersecurity firm SentinelLabs uncovered this new tactic, noting that the use of the Nim programming language sets this malware apart. Nim-compiled binaries are rarely seen targeting macOS, making the malware less recognizable to conventional security tools and potentially more difficult to analyze and detect. The researchers observed that North Korean threat actors have previously experimented with programming languages like Go and Rust, but the shift toward Nim reflects a strategic advantage due to its cross-platform capabilities. This allows the same codebase to run on Windows, Linux, and macOS without modification, increasing the efficiency and reach of their attacks. The malicious payload includes a credential-stealing component engineered to discreetly harvest browser and system-level data, bundle the information, and transmit it to the attackers. Additionally, the researchers identified a script within the malware that targets Telegram by extracting both its encrypted local database and the corresponding decryption keys. Notably, the malware employs a delayed activation mechanism, waiting ten minutes before executing its operations in an apparent effort to evade security scanners.

De acordo com ShibDaily, hackers norte-coreanos lançaram uma nova campanha de ciberataque visando empresas de criptomoeda, implantando uma cepa sofisticada de malware conhecida como NimDoor. Este malware é projetado para infiltrar dispositivos Apple, contornando as proteções de memória integradas para extrair dados sensíveis de carteiras de criptomoeda e navegadores.
O ataque começa com táticas de engenharia social em plataformas como Telegram, onde hackers se passam por contatos de confiança para envolver as vítimas em conversa. Eles então convidam o alvo para uma reunião falsa no Zoom, disfarçada como uma sessão do Google Meet, e enviam um arquivo que imita uma atualização legítima do Zoom. Este arquivo serve como o método de entrega para a carga maliciosa. Uma vez executado, o malware instala o NimDoor no dispositivo da vítima, que prossegue para coletar informações sensíveis, visando especificamente carteiras de criptomoeda e credenciais armazenadas do navegador.
Pesquisadores da empresa de cibersegurança SentinelLabs descobriram essa nova tática, observando que o uso da linguagem de programação Nim diferencia esse malware. Os binários compilados em Nim são raramente vistos visando macOS, tornando o malware menos reconhecível para ferramentas de segurança convencionais e potencialmente mais difícil de analisar e detectar. Os pesquisadores observaram que os atores de ameaça norte-coreanos experimentaram anteriormente com linguagens de programação como Go e Rust, mas a mudança para Nim reflete uma vantagem estratégica devido às suas capacidades multiplataforma. Isso permite que o mesmo código-fonte seja executado em Windows, Linux e macOS sem modificação, aumentando a eficiência e o alcance de seus ataques.
A carga maliciosa inclui um componente de roubo de credenciais projetado para coletar discretamente dados do navegador e do sistema, agrupar as informações e transmiti-las para os atacantes. Além disso, os pesquisadores identificaram um script dentro do malware que visa o Telegram extraindo tanto seu banco de dados local criptografado quanto as chaves de descriptografia correspondentes. Notavelmente, o malware emprega um mecanismo de ativação atrasada, esperando dez minutos antes de executar suas operações em um aparente esforço para evadir scanners de segurança.

Hackers norte-coreanos exploram dispositivos Apple com malware NimDoor

Últimas Notícias