North Korean Hackers Exploit Apple Devices with NimDoor Malware

Binance News · 2025-07-07T07:40:18.000Z

According to ShibDaily, North Korean hackers have launched a new cyberattack campaign targeting cryptocurrency companies by deploying a sophisticated malware strain known as NimDoor. This malware is designed to infiltrate Apple devices, bypassing built-in memory protections to extract sensitive data from crypto wallets and browsers. The attack begins with social engineering tactics on platforms like Telegram, where hackers pose as trusted contacts to engage victims in conversation. They then invite the target to a fake Zoom meeting, disguised as a Google Meet session, and send a file that mimics a legitimate Zoom update. This file serves as the delivery method for the malicious payload. Once executed, the malware installs NimDoor on the victim's device, which proceeds to harvest sensitive information, specifically targeting cryptocurrency wallets and stored browser credentials. Researchers at cybersecurity firm SentinelLabs uncovered this new tactic, noting that the use of the Nim programming language sets this malware apart. Nim-compiled binaries are rarely seen targeting macOS, making the malware less recognizable to conventional security tools and potentially more difficult to analyze and detect. The researchers observed that North Korean threat actors have previously experimented with programming languages like Go and Rust, but the shift toward Nim reflects a strategic advantage due to its cross-platform capabilities. This allows the same codebase to run on Windows, Linux, and macOS without modification, increasing the efficiency and reach of their attacks. The malicious payload includes a credential-stealing component engineered to discreetly harvest browser and system-level data, bundle the information, and transmit it to the attackers. Additionally, the researchers identified a script within the malware that targets Telegram by extracting both its encrypted local database and the corresponding decryption keys. Notably, the malware employs a delayed activation mechanism, waiting ten minutes before executing its operations in an apparent effort to evade security scanners.

Theo ShibDaily, các hacker Bắc Triều Tiên đã phát động một chiến dịch tấn công mạng mới nhắm vào các công ty tiền điện tử bằng cách triển khai một biến thể malware tinh vi được gọi là NimDoor. Malware này được thiết kế để xâm nhập vào các thiết bị Apple, vượt qua các biện pháp bảo vệ bộ nhớ tích hợp để trích xuất dữ liệu nhạy cảm từ ví tiền điện tử và trình duyệt.
Cuộc tấn công bắt đầu với các chiến thuật kỹ thuật xã hội trên các nền tảng như Telegram, nơi mà các hacker giả mạo là những liên hệ đáng tin cậy để thu hút nạn nhân vào cuộc trò chuyện. Họ sau đó mời mục tiêu tham gia một cuộc họp Zoom giả mạo, ngụy trang dưới dạng phiên Google Meet, và gửi một file giả mạo bản cập nhật Zoom hợp pháp. File này phục vụ như một phương thức chuyển giao cho tải trọng độc hại. Khi được thực thi, malware sẽ cài đặt NimDoor trên thiết bị của nạn nhân, sau đó tiến hành thu thập thông tin nhạy cảm, đặc biệt nhắm vào ví tiền điện tử và thông tin đăng nhập trình duyệt đã lưu.
Các nhà nghiên cứu tại công ty an ninh mạng SentinelLabs đã phát hiện ra chiến thuật mới này, lưu ý rằng việc sử dụng ngôn ngữ lập trình Nim khiến malware này trở nên khác biệt. Các file nhị phân biên dịch từ Nim hiếm khi được thấy nhắm vào macOS, làm cho malware này ít dễ nhận biết hơn với các công cụ bảo mật thông thường và có thể khó phân tích và phát hiện hơn. Các nhà nghiên cứu đã quan sát rằng các diễn viên đe dọa Bắc Triều Tiên trước đây đã thử nghiệm với các ngôn ngữ lập trình như Go và Rust, nhưng sự chuyển hướng sang Nim phản ánh một lợi thế chiến lược nhờ vào khả năng đa nền tảng của nó. Điều này cho phép cùng một mã nguồn chạy trên Windows, Linux, và macOS mà không cần sửa đổi, tăng cường hiệu quả và phạm vi của các cuộc tấn công của họ.
Tải trọng độc hại bao gồm một thành phần đánh cắp thông tin đăng nhập được thiết kế để thu thập một cách kín đáo dữ liệu trình duyệt và dữ liệu hệ thống, gộp thông tin lại và truyền tải nó đến các kẻ tấn công. Thêm vào đó, các nhà nghiên cứu đã xác định một script trong malware nhắm vào Telegram bằng cách trích xuất cả cơ sở dữ liệu địa phương mã hóa của nó và các khóa giải mã tương ứng. Đáng chú ý, malware này sử dụng cơ chế kích hoạt trì hoãn, chờ đợi mười phút trước khi thực hiện các hoạt động của nó nhằm nỗ lực né tránh các máy quét bảo mật.

Các Hacker Bắc Triều Tiên Lợi Dụng Các Thiết Bị Apple Với Malware NimDoor

Tin tức mới nhất

Các Hacker Bắc Triều Tiên Lợi Dụng Các Thiết Bị Apple Với Malware NimDoor

Tin tức mới nhất

Bài viết thịnh hành