朝鮮黑客針對macOS進行最新的惡意軟件攻擊，目標是加密貨幣公司

朝鮮網路犯罪分子一直在針對加密公司，使用一種新型惡意軟件，該惡意軟件利用蘋果設備進行多階段攻擊。

網路安全公司Sentinel Labs的研究人員就這一活動發出了警告，該活動利用社會工程學和高級持久性技術來攻陷macOS系統。

惡意軟件被稱爲“NimDoor”，它是用較不知名的Nim編程語言編寫的，並且能夠躲避傳統的殺毒工具。

根據Sentinel Labs的報告，攻擊者通過在Telegram等消息平台上冒充受信任的個人來發起聯繫。在這種情況下，受害者似乎是區塊鏈或Web3公司的員工，他們通過網絡釣魚連結被引誘進入虛假的Zoom會議，並被指示安裝看似例行的Zoom SDK更新。

一旦執行，更新腳本會在受害者的Mac設備上安裝多個階段的惡意軟件。這些包括基於AppleScript的信標、用於憑證盜取的Bash腳本，以及用Nim和C++編譯的二進制文件，用於持久性和遠程命令執行。

二進制文件是獨立的程序文件，在惡意軟件鏈中執行特定任務。其中一個名爲 CoreKitAgent 的二進制文件使用基於信號的持久性機制，當用戶嘗試關閉惡意軟件時運行，使其即使在系統重啓後仍然保持活動。

加密貨幣是該操作的主要目標。惡意軟件特別尋找與數字錢包相關的瀏覽器存儲憑證和應用程序數據。

惡意軟件執行腳本，旨在從流行瀏覽器提取信息，如Chrome、Brave、Edge和Firefox，以及Apple的Keychain密碼管理器。另一個組件針對Telegram的加密數據庫和密鑰文件，可能暴露通過該消息應用交換的錢包種子短語和私鑰。

負責的朝鮮黑客

Sentinel Labs將此活動歸因於與北朝鮮相關的威脅行爲者，延續了朝鮮民主主義人民共和國針對加密貨幣的網路攻擊模式。

黑客組織如Lazarus長期以來一直針對數字資產公司，試圖繞過國際制裁並爲國家行動提供資金。以往的行動中，惡意軟件使用Go和Rust編寫，但此次行動標志着Nim首次大規模部署於macOS目標。

據crypto.news早前報道，在2023年底，研究人員觀察到另一個與朝鮮民主主義人民共和國（DPRK）相關的活動，該活動部署了一種名爲Kandykorn的基於Python的惡意軟件。它通過僞裝成加密套利機器人在Discord服務器上分發，主要針對使用macOS的區塊鏈工程師。

Sentinel Labs 警告稱，隨着威脅行爲者越來越多地採用晦澀的編程語言和復雜的技術，傳統的關於 macOS 的安全假設已不再有效。

在過去幾個月中，幾種惡意軟件針對蘋果用戶，包括通過 iOS 照片庫竊取種子短語的 SparkKitty，以及一個在 macOS 上用惡意版本替換錢包應用的木馬。