Новые угрозы для пользователей macOS: кибератака из Северной Кореи
Исследователи из SentinelLabs выявили новую угрозу, связанную с кибератаками, осуществляемыми хакерами из Северной Кореи, которые пытаются украсть криптовалюту и другую важную информацию у пользователей macOS, как сообщает TechRadar.
Специалисты идентифицировали вредоносную программу под названием NimDoor, написанную на языке Nim, которая позволяет избегать обнаружения антивирусным ПО. После установки NimDoor использует AppleScript для связи с командным сервером и асинхронных таймеров сна, чтобы оставаться незамеченным в системе. Термин связи в кибербезопасности означает, что вредоносное ПО периодически сообщает о себе на сервер управления для получения инструкций или передачи данных.
Процесс атаки обычно начинается через Telegram, где жертвам отправляется сообщение от вымышленного знакомого с приглашением на Zoom-встречу. Когда пользователь нажимает на ссылку, открывается поддельная страница Zoom, предлагающая установить "обновление". На самом деле загружается вредоносный код NimDoor, который крадет:
- Историю браузера и поисковые запросы;
- Файлы cookie и чаты в Telegram;
- Пароли из macOS Keychain.
"Это вызывает беспокойство в связи с развитием киберугроз со стороны Северной Кореи, особенно в условиях роста удаленной работы и ложного чувства безопасности среди пользователей Mac", — отметили эксперты SentinelLabs.
Группы хакеров, связанные с правительством Северной Кореи, включая знаменитую Lazarus Group, ранее уже крали криптовалюту для финансирования своих операций. С 2021 по начало 2025 года они украли более 3,4 миллиарда долларов, включая:
- Атака на биржу ByBit в феврале 2025 года: около 1,5 миллиарда долларов в токенах;
- Взлом Ronin Bridge в марте 2022 года: около 600 миллионов долларов;
- Атака на Poly Network в 2021 году: около 600 миллионов долларов.
Эксперты призывают всех пользователей macOS быть осторожными: не открывать подозрительные ссылки, даже если они приходят от знакомых, и устанавливать обновления только через официальные каналы, а не из всплывающих окон браузера.
