Нові загрози: Хакери з Північної Кореї атакують користувачів macOS

Фахівці з SentinelLabs виявили нещодавню кібератаку, що здійснюється хакерами з Північної Кореї, яка націлена на користувачів macOS для викрадення криптовалюти та важливої інформації, як зазначає TechRadar.

Зловмисники розробили бекдор, відомий як NimDoor, написаний на рідкісній мові програмування Nim, що дозволяє уникати виявлення звичайними антивірусами. Після установки NimDoor використовує AppleScript для зв’язку з командним сервером та асинхронних таймерів сну, що дає можливість шкідливому програмному забезпеченню залишатися непоміченим у системі. Термін beaconing у кібербезпеці відноситься до техніки, за допомогою якої шкідливе ПЗ регулярно, через певні інтервали, зв’язується з C2-сервером, щоб повідомити про свою присутність та отримати інструкції або передати дані.

Атака зазвичай розпочинається в Telegram, де жертви отримують повідомлення від фальшивого довіреного контакту з запрошенням на Zoom-зустріч. Натискаючи на посилання, користувачі потрапляють на підроблену сторінку Zoom, яка запитує встановлення "оновлення" для участі у відеодзвінку. Натомість завантажується шкідливий код NimDoor, який краде різноманітні дані:

• Історія переглядів браузера та пошукові запити;
• Файли cookie та чати в Telegram;
• Паролі з macOS Keychain.

"Це викликає тривогу через розвиток кіберможливостей Північної Кореї, особливо в умовах зростання дистанційної роботи та помилкового відчуття безпеки серед користувачів Mac", — зазначили в SentinelLabs.

Групи хакерів з Північної Кореї, зокрема відомі Lazarus Group, раніше вже викрадали кошти в криптовалюті для фінансування своїх програм. З 2021 до початку 2025 року вони вкрали понад $3,4 мільярда, зокрема:

• Атака на біржу ByBit у лютому 2025 року: близько $1,5 млрд у токенах;
• Злом Ronin Bridge у березні 2022 року: близько $600 млн;
• Атака на Poly Network у 2021 році: близько $600 млн.

Експерти рекомендують користувачам macOS бути обережними: не відкривати підозрілі посилання, навіть якщо вони надходять від знайомих, та встановлювати оновлення тільки через офіційні канали, а не через спливаючі вікна в браузерах.