Група хакерів, пов’язана з режимом КНДР, використовує новий бекдор NimDoor для атак на криптовалютні компанії. За даними SentinelLabs, шкідник маскується під оновлення Zoom і проникає на macOS-пристрої, оминаючи захист Apple.
Зловмисники звертаються до жертв через Telegram, прикидаючись довіреним контактом. Потім вони надсилають інвайт на фейкову зустріч через Calendly і посилання на нібито на оновлення месенджера Zoom, яке в реальності містить шкідливий код.
NimDoor збирає паролі з браузерів, бази Telegram і файли криптогаманців, а також створює фоновий процес для повторного запуску та завантаження додаткових компонентів.
Вірус написаний на мові Nim. За словами експертів Sentinel, вона майже не зустрічається в розробці шкідників для macOS, що ускладнює виявлення.
SentinelLabs радить криптокомпаніям блокувати непідписані інсталятори, перевіряти оновлення Zoom лише через zoom.us і ретельно аналізувати нові контакти в Telegram
Нагадаємо, за даними TRM Labs, у першій половині 2025 року північнокорейські групи викрали $1,6 млрд у Web3-компаній — близько 70% всіх втрат від зламів в індустрії за цей період.
Найбільшим інцидентом став злам Bybit у лютому зі збитками близько $1,5 млрд. Крім того, зловмисники атакують криптофахівців через фейкові інтерв’ю та намагаються влаштовуватись на посади в криптокомпанях.