Północnokoreańscy hakerzy atakują sektor kryptowalut przy użyciu zaawansowanego złośliwego oprogramowania o nazwie NimDoor. Ten wyrafinowany malware specjalnie zaprojektowany dla komputerów Mac wyróżnia się niespotykaną wcześniej zdolnością do samodzielnej reinstalacji, co czyni go wyjątkowo trudnym do usunięcia. Eksperci z SentinelOne odkryli, że NimDoor wykorzystuje niekonwencjonalne języki programowania oraz zaawansowane techniki, aby skutecznie wykradać dane związane z kryptowalutami.
Zaawansowana infekcja poprzez socjotechnikę
Atak NimDoor rozpoczyna się od starannie opracowanej kampanii socjotechnicznej. Cyberprzestępcy kontaktują się z potencjalnymi ofiarami za pośrednictwem komunikatora Telegram, podszywając się pod zaufane kontakty biznesowe. Następnie proponują spotkanie przez platformę Zoom, wysyłając link do kalendarza Calendly. Nieświadome niebezpieczeństwa ofiary otrzymują wiadomość email zawierającą pozornie niegroźny link do Zoom oraz prośbę o aktualizację SDK, rzekomo niezbędną do prawidłowego działania platformy.
Kluczowym elementem ataku jest plik AppleScript nazwany zoom_sdk_support.scpt. Ten pozornie niewinny skrypt zawiera ponad 10 000 pustych linii oraz celowe błędy, takie jak zamiana « Zoom » na « Zook », co wskazuje na przemyślaną strategię unikania systemów automatycznej detekcji złośliwego oprogramowania. Po uruchomieniu skrypt pobiera dodatkowe komponenty z serwerów kontrolowanych przez hakerów, które imitują infrastrukturę Zoom.
Analiza techniczna pokazuje, że hakerzy wykorzystują kilka etapów infekcji:
- Dystrybucja złośliwego AppleScriptu poprzez fałszywy link do Zoom
- Pobranie dodatkowych komponentów z serwerów kontrolowanych przez hakerów
- Instalacja binariów Mach-O napisanych w językach C++ i Nim
- Konfiguracja mechanizmów zapewniających trwałość infekcji
- Wykradanie danych dotyczących kryptowalut i komunikacji
Techniczne aspekty malware’u NimDoor
NimDoor wyróżnia się na tle innych złośliwych programów dla macOS wykorzystaniem języków programowania Nim i C++, które są rzadko spotykane w ekosystemie Apple. Instalator malware’u wprowadza do systemu dwa kluczowe komponenty: GoogIe LLC (z wielką literą « I » zamiast małej « l » dla zmylenia użytkownika) oraz CoreKitAgent. Pierwszy z nich zbiera informacje o środowisku, generuje zaszyfrowane pliki konfiguracyjne i tworzy LaunchAgent, który zapewnia uruchamianie złośliwego oprogramowania przy każdym starcie systemu.
CoreKitAgent stanowi główny element frameworku NimDoor. Ten komponent działa jako binarna aplikacja sterowana zdarzeniami, wykorzystując mechanizm kqueue macOS do asynchronicznego zarządzania wykonaniem. Implementuje maszynę stanów z 10 stanami i zakodowaną na stałe tabelą przejść, co pozwala na elastyczne kontrolowanie przepływu w zależności od warunków środowiska.
| Komponent | Funkcja | Język programowania |
|---|---|---|
| zoom_sdk_support.scpt | Inicjacja ataku i pobieranie dodatkowych komponentów | AppleScript |
| GoogIe LLC | Zbieranie danych i konfiguracja trwałości | C++ |
| CoreKitAgent | Główny payload, zarządzanie maszyną stanów | Nim |
| trojan1_arm64 | Komunikacja C2 przez WebSocket Secure | C++ |
Najbardziej innowacyjnym i niebezpiecznym aspektem NimDoor jest mechanizm persystencji oparty na sygnałach systemowych. CoreKitAgent instaluje niestandardowe procedury obsługi sygnałów SIGINT i SIGTERM, które normalnie służą do zakończenia procesów. Jeśli któryś z tych sygnałów zostanie przechwycony (na przykład podczas próby ręcznego zamknięcia lub przez oprogramowanie zabezpieczające), malware aktywuje procedurę reinstalacji, która przywraca GoogIe LLC i siebie, odtwarzając łańcuch persystencji.
Kradzież kryptowalut i danych komunikacyjnych
Równolegle do głównego łańcucha infekcji, skrypt zoom_sdk_support.scpt uruchamia drugą ścieżkę ataku wykorzystującą binarny plik trojan1_arm64. Ten komponent nawiązuje komunikację Command and Control (C2) poprzez protokół WebSocket Secure (WSS) i pobiera dodatkowe skrypty służące do kradzieży danych.
Wśród narzędzi wykradających dane znajdują się:
- Skrypt « upl » – wydobywa dane z przeglądarek internetowych, systemowego pęku kluczy (Keychain) oraz historii powłoki systemowej
- Skrypt « tlgrm » – koncentruje się na kradzieży bazy danych Telegram i kluczy tymczasowych
- Moduły do identyfikacji i wykradania informacji związanych z kryptowalutami
- Komponenty przechwytujące dane uwierzytelniające do portfeli kryptowalutowych
Komunikacja między złośliwymi komponentami a infrastrukturą atakujących jest szyfrowana za pomocą algorytmu RC4 z dodatkowymi warstwami kodowania base64. Każda ofiara jest identyfikowana przez unikalny Build ID. Polecenia są przesyłane w formacie JSON i mogą obejmować wykonywanie dowolnych poleceń, ekstrakcję informacji systemowych oraz manipulację systemem plików.
Ewolucja zagrożeń dla macOS w kontekście kryptowalut
NimDoor reprezentuje znaczący postęp w arsenale północnokoreańskich grup zaawansowanych zagrożeń (APT). Modułowość i elastyczność tego frameworku, w połączeniu z wykorzystaniem międzyplatformowych języków programowania jak Nim i C++, świadczą o szybkiej ewolucji technik stosowanych przez cyberprzestępców wspieranych przez państwo.
SentinelOne udostępnia wskaźniki kompromitacji (IoC) związane z domenami, ścieżkami plików, skryptami i plikami binarnymi wykorzystywanymi w atakach, co stanowi cenne narzędzie dla firm z sektora kryptowalut i Web3 chcących chronić swoje zasoby. Pojawienie się NimDoor podkreśla, jak krajobraz zagrożeń dla macOS staje się coraz bardziej wyrafinowany, ze szczególnym uwzględnieniem celów o wysokiej wartości.
Eksperci zalecają firmom z sektora kryptowalut wdrożenie kompleksowych strategii bezpieczeństwa, które wykraczają poza tradycyjne rozwiązania antywirusowe. Regularne aktualizacje systemów, edukacja pracowników w zakresie rozpoznawania prób socjotechniki oraz wdrażanie zaawansowanych systemów monitorowania stanowią kluczowe elementy obrony przed zagrożeniami takimi jak NimDoor.
- Google łączy Chrome OS i Android w jedną platformę - juillet 19, 2025
- Ghost of Tsushima Director’s Cut za darmo w PS Plus Extra - juillet 19, 2025
- Samsung Galaxy Z Tri-Fold : nowy smartfon z podwójnie składanym ekranem - juillet 19, 2025
