Исследовательская группа SentinelLabs выявила новую киберугрозу, нацеленную на устройства macOS, исходящую от северокорейских хакеров. Атака, названная NimDoor, использует язык программирования Nim для внедрения сложных методов взлома.
Как осуществляется атака
Согласно отчету SentinelLabs, атака NimDoor начинается с имитации доверительного контакта, что приводит к назначению встречи через Calendly. Жертва получает письмо с предложением обновить Zoom, в котором находится скрипт с вредоносным кодом. Этот код скачивает два исполняемых файла для macOS и запускает две независимые цепочки. Первая собирает общую информацию о системе, в то время как вторая обеспечивает долгосрочный доступ для злоумышленника.
В дальнейшем устанавливаются два Bash-скрипта, один из которых собирает данные из популярных браузеров, а другой получает зашифрованные данные Telegram. Все данные отправляются на контролируемый сервер.
Финансовые потоки
ZachXBT, известный блокчейн-расследователь, обнаружил значительные финансовые переводы к разработчикам из КНДР, работающим на различных проектах. С начала года было отправлено около 2.76 миллиона долларов США в эквиваленте USDC адресам, связанным с этими работниками. Некоторые из этих адресов могут быть связаны с подозреваемым, чье имя было занесено в черный список Tether в 2023 году. Zach призывает к осторожности, так как присутствие северокорейских IT работников может указывать на потенциальные риски для стартапов.
Заключение
Атака NimDoor подчеркивает растущие угрозы для устройств macOS, особенно в контексте Web3 и криптопроектов. Сложность атакующих методик и связанные финансовые потоки делают эту ситуацию значительной для безопасности пользователей. Эксперты призывают уделять внимание потенциальным уязвимостям, связанных с наем работников из КНДР.
Таким образом, новое исследование от SentinelLabs открывает глаза на сложные и опасные атаки, которые могут угрожать безопасности бизнеса и пользователей в современной цифровой экосистеме.
