#blue_team #NimDoor

Для обеспечения устойчивости используется `LaunchAgent` с именем `com.google.update.plist`, который перезапускает `GoogIe LLC` при каждом входе в систему и хранит ключи аутентификации для последующих этапов.

Кроме того, малварь использует Bash-скрипты для извлечения данных из Keychain, браузеров и Telegram. Это указывает на высокую степень автоматизации и целенаправленности атак.

Подробности (https://www.sentinelone.com/labs/macos-nimdoor-dprk-threat-actors-target-web3-and-crypto-platforms-with-nim-based-malware/).

macOS NimDoor | DPRK Threat Actors Target Web3 and Crypto Platforms with Nim-Based Malware

NimDoor reflects a leap in DPRK’s offensive toolkit, mixing compile-time trickery with native scripting to complicate and deter analysis.

SentinelOne

NimDoor — новое семейство вредоносного ПО для macOS, нацеленное на Web3 и криптовалютные платформы

#blue_team #NimDoor #macos

Это модульная, устойчиво работающая event-driven малварь, написанная на `Nim`. Она умеет самовосстанавливаться при попытках удаления и маскироваться под легитимные системные службы. Ключевая особенность — использование системного механизма `kqueue` и `LaunchAgent` для скрытого и постоянного контроля над зараженной системой.

Атака начинается с сообщения в Telegram, в котором распространяется фейковый файл обновления SDK Zoom. После запуска устанавливаются три бинарных файла:

- `installer` — подготавливает систему, создает необходимые директории и пути конфигурации;
- `GoogIe LLC` — собирает данные о среде и генерирует зашифрованный конфиг в hex-формате;
- `CoreKitAgent` — основной исполняемый модуль на Go, использующий macOS‑механизм `kqueue` (асинхронное событие ввода/вывода) для управления своей работой и реакции на события.

MacOS Malware NimDoor Weaponizing Zoom SDK Update to Steal Keychain Credentials

NimDoor MacOS malware targets crypto firms via fake Zoom SDK updates, using Telegram lures and AppleScript, linked to North Korean actors.

Cyber Security News
SentinelLabs avisa que el malware NimDoor ataca a los usuarios de Mac

NimDoor: un malware basado en Nim para macOS que llega desde Corea del Norte y usa ingeniería social a través de Telegram y Zoom para expandirse.

mecambioaMac
"NimDoor MacOS Malware" published by PolySwarm. #NimDoor, #StardustChollima, #DPRK, #CTI https://blog.polyswarm.io/nimdoor-macos-malware
NimDoor MacOS Malware

NimDoor is a sophisticated MacOS malware deployed by North Korea-linked threat actors, likely Stardust Chollima, targeting Web3 and cryptocurrency organizations.

"New North Korean malware targets crypto startups" published by Moonlock. #NimDoor, #DPRK, #CTI https://moonlock.com/malware-fake-zoom-invites
New North Korean malware targets crypto startups

The campaign uses fake Zoom invites to lure in victims.

Moonlock
North Korea-linked threat actors spread macOS NimDoor malware via fake Zoom updates

North Korea-linked hackers use fake Zoom updates to spread macOS NimDoor malware, targeting crypto firms with stealthy backdoors.

Security Affairs

Nowe złośliwe oprogramowanie „NimDoor” atakuje użytkowników macOS

Zespół SentinelLabs ujawnił kampanię hakerską prowadzoną przez grupę powiązaną z Koreą Północną (DPRK), która wykorzystuje fałszywe zaproszenia Zoom do infekowania komputerów Mac złośliwym oprogramowaniem nazwanym NimDoor.

To jeden z najbardziej zaawansowanych ataków na macOS, skierowany głównie w startupy z sektora Web3 i kryptowalut.

Jak działa atak?

  • Podszywanie się pod znajomego na Telegramie – ofiara zapraszana jest na spotkanie przez Calendly.
  • W e-mailu pojawia się fałszywy link do aktualizacji SDK Zooma – zawiera plik z ponad 10 000 pustych linii kodu, by ukryć funkcję.
  •  Po uruchomieniu, malware:
    • nawiązuje zaszyfrowane połączenie przez WebSocket Secure (wss) z serwerem kontrolującym,
    • utrzymuje dostęp po restarcie systemu, wykorzystując sygnały SIGINT/SIGTERM,
    • eksportuje dane z Keychaina, przeglądarek i Telegrama przy użyciu skryptów Bash,
    • wykorzystuje AppleScript i język Nim, co jest rzadkością w malware na macOS.
  • Co czyni NimDoor wyjątkowym? Wykorzystuje język Nim – bardziej złożony i mniej wykrywany niż typowe Go, Python czy Bash. Wprowadza też nową technikę trwałości, działającą nawet po restarcie systemu. Posiada ponadto rozbudowany łańcuch infekcji, od socjotechniki po wieloetapowe backdoory.

    Fałszywy plik aktualizacji zawiera ukryty kod, utrudniając analizę i wykrycie.

    Jak się zabezpieczyć?

  • Nie pobieraj aktualizacji Zooma (ani innych aplikacji) spoza oficjalnych źródeł.
  • Zgłaszaj podejrzane zaproszenia do spotkań otrzymane przez Telegram lub e-mail.
  • Regularnie aktualizuj macOS i oprogramowanie zabezpieczające.
  • Używaj menedżera haseł i weryfikacji dwuetapowej.
  • #AppleScriptMalware #atakNaWeb3 #BashExfiltration #fakeZoomSDK #hakerzyZKoreiPółnocnej #kryptowalutyBezpieczeństwo #macOSMalware #macOSSpyware2025 #macOSZabezpieczenia #malwareNim #NimDoor #SentinelLabsRaport #zagrożeniaDlaStartupów #ZoomFałszywaAktualizacja

    NimDoor crypto-theft macOS malware revives itself when killed

    North Korean state-backed hackers have been using a new family of macOS malware called NimDoor in a campaign that targets web3 and cryptocurrency organizations.

    BleepingComputer

    North Korean hackers use new macOS malware #NimDoor to target Web3 and crypto firms through fake Zoom updates, abusing Nim language and AppleScript.

    Read: https://hackread.com/n-korean-hackers-nimdoor-macos-malware-fake-zoom-updates/

    #CyberSecurity #CyberAttacks #Crypto #Web3 #NorthKorea #macOS

    N Korean Hackers Drop NimDoor macOS Malware Via Fake Zoom Updates

    Follow us on Bluesky, Twitter (X), Mastodon and Facebook at @Hackread

    Hackread - Latest Cybersecurity, Hacking News, Tech, AI & Crypto