#blue_team #NimDoor

Для обеспечения устойчивости используется `LaunchAgent` с именем `com.google.update.plist`, который перезапускает `GoogIe LLC` при каждом входе в систему и хранит ключи аутентификации для последующих этапов.

Кроме того, малварь использует Bash-скрипты для извлечения данных из Keychain, браузеров и Telegram. Это указывает на высокую степень автоматизации и целенаправленности атак.

Подробности (https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/).

NimDoor — новое семейство вредоносного ПО для macOS, нацеленное на Web3 и криптовалютные платформы

#blue_team #NimDoor #macos

Это модульная, устойчиво работающая event-driven малварь, написанная на `Nim`. Она умеет самовосстанавливаться при попытках удаления и маскироваться под легитимные системные службы. Ключевая особенность — использование системного механизма `kqueue` и `LaunchAgent` для скрытого и постоянного контроля над зараженной системой.

Атака начинается с сообщения в Telegram, в котором распространяется фейковый файл обновления SDK Zoom. После запуска устанавливаются три бинарных файла:

- `installer` — подготавливает систему, создает необходимые директории и пути конфигурации;
- `GoogIe LLC` — собирает данные о среде и генерирует зашифрованный конфиг в hex-формате;
- `CoreKitAgent` — основной исполняемый модуль на Go, использующий macOS‑механизм `kqueue` (асинхронное событие ввода/вывода) для управления своей работой и реакции на события.

MacOS Malware NimDoor Weaponizing Zoom SDK Update to Steal Keychain Credentials
https://cybersecuritynews.com/macos-malware-nimdoor-weaponizing-zoom-sdk-update/

#Infosec #Security #Cybersecurity #CeptBiro #MacOS #Malware #NimDoor #Zoom #SDKUpdate #Steal #KeychainCredentials

@SentinelLabs avisa que el malware NimDoor ataca a los usuarios de Mac

#NimDoor #Cybersecurity #Malware #macOS #ciberseguridad

https://mecambioamac.com/sentinellabs-avisa-que-el-malware-nimdoor-ataca-a-los-usuarios-de-mac/

"NimDoor MacOS Malware" published by PolySwarm. #NimDoor, #StardustChollima, #DPRK, #CTI https://blog.polyswarm.io/nimdoor-macos-malware

"New North Korean malware targets crypto startups" published by Moonlock. #NimDoor, #DPRK, #CTI https://moonlock.com/malware-fake-zoom-invites

North Korea-linked threat actors spread #macOS #NimDoor #malware via fake #Zoom updates
https://securityaffairs.com/179643/hacking/north-korea-linked-threat-actors-spread-macos-nimdoor-malware-via-fake-zoom-updates.html
#securityaffairs #hacking

Nowe złośliwe oprogramowanie „NimDoor” atakuje użytkowników macOS

Zespół SentinelLabs ujawnił kampanię hakerską prowadzoną przez grupę powiązaną z Koreą Północną (DPRK), która wykorzystuje fałszywe zaproszenia Zoom do infekowania komputerów Mac złośliwym oprogramowaniem nazwanym NimDoor.

To jeden z najbardziej zaawansowanych ataków na macOS, skierowany głównie w startupy z sektora Web3 i kryptowalut.

Jak działa atak?

1. Podszywanie się pod znajomego na Telegramie – ofiara zapraszana jest na spotkanie przez Calendly.
2. W e-mailu pojawia się fałszywy link do aktualizacji SDK Zooma – zawiera plik z ponad 10 000 pustych linii kodu, by ukryć funkcję.
3.  Po uruchomieniu, malware:
   • nawiązuje zaszyfrowane połączenie przez WebSocket Secure (wss) z serwerem kontrolującym,
   • utrzymuje dostęp po restarcie systemu, wykorzystując sygnały SIGINT/SIGTERM,
   • eksportuje dane z Keychaina, przeglądarek i Telegrama przy użyciu skryptów Bash,
   • wykorzystuje AppleScript i język Nim, co jest rzadkością w malware na macOS.

Co czyni NimDoor wyjątkowym? Wykorzystuje język Nim – bardziej złożony i mniej wykrywany niż typowe Go, Python czy Bash. Wprowadza też nową technikę trwałości, działającą nawet po restarcie systemu. Posiada ponadto rozbudowany łańcuch infekcji, od socjotechniki po wieloetapowe backdoory.

Fałszywy plik aktualizacji zawiera ukryty kod, utrudniając analizę i wykrycie.

Jak się zabezpieczyć?

1. Nie pobieraj aktualizacji Zooma (ani innych aplikacji) spoza oficjalnych źródeł.
2. Zgłaszaj podejrzane zaproszenia do spotkań otrzymane przez Telegram lub e-mail.
3. Regularnie aktualizuj macOS i oprogramowanie zabezpieczające.
4. Używaj menedżera haseł i weryfikacji dwuetapowej.

#AppleScriptMalware #atakNaWeb3 #BashExfiltration #fakeZoomSDK #hakerzyZKoreiPółnocnej #kryptowalutyBezpieczeństwo #macOSMalware #macOSSpyware2025 #macOSZabezpieczenia #malwareNim #NimDoor #SentinelLabsRaport #zagrożeniaDlaStartupów #ZoomFałszywaAktualizacja

North Korean hackers use new macOS malware #NimDoor to target Web3 and crypto firms through fake Zoom updates, abusing Nim language and AppleScript.

Read: https://hackread.com/n-korean-hackers-nimdoor-macos-malware-fake-zoom-updates/

#CyberSecurity #CyberAttacks #Crypto #Web3 #NorthKorea #macOS

NimDoor : des hackers nord-coréens ciblent des entreprises de crypto via le Mac http://dlvr.it/TLjGmQ #NimDoor #cybersecurite

NimDoor crypto-theft macOS malware revives itself when killed
https://www.bleepingcomputer.com/news/security/nimdoor-crypto-theft-macos-malware-revives-itself-when-killed/

#Infosec #Security #Cybersecurity #CeptBiro #NimDoor #CryptoTheft #macOS #Malware

Auch für MacOS denken sich nordkoreanische Hacker etwas Neues aus, berichtet SENTINELlabs. Nix Gutes, schon klar.
Neu im Angebot: NimDoor. Die Malware zielt auf auf Web3- und Kryptowährungsorganisationen.

https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/
#infosec #malware #nimdoor #macos #apple

"macOS NimDoor | DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware" published by SentinelOne. #NimDoor, #macOS, #DPRK, #CTI https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/