朝鲜黑客发动新型苹果系统恶意软件攻击,加密行业面临严峻威胁
发布时间:2025年07月03日 20:40
浏览量:561
与朝鲜有关的黑客组织近日使用Nim编程语言开发出一种名为NimDoor的复杂恶意软件,专门针对Web3和加密行业的macOS系统用户。根据网络安全公司SentinelLabs最新报告,这种恶意软件最早在2025年4月针对一家加密初创公司的攻击中被发现。
报告显示,攻击者采用经典的社会工程学手段诱骗受害者:首先通过Telegram冒充联系人进行初步接触,安排Calendly会议邀请,随后发送包含Zoom链接的邮件,诱导用户安装所谓的"Zoom SDK更新"。实际上,该链接会将用户导向伪装成Zoom官方域名的恶意AppleScript文件。
NimDoor在入侵系统后会部署两个Mach-O二进制文件:一个是用于发起特洛伊木马攻击的C++程序,另一个则是确保恶意软件持续运行的Nim编译安装程序。该恶意软件最终会窃取包括谷歌Chrome、Firefox等浏览器的登录凭证及浏览记录,以及Telegram通信数据,并将这些信息发送至攻击者控制的服务器。
值得注意的是,这并非朝鲜相关黑客首次使用冷门编程语言。此前他们曾使用过Go、Rust和Crystal等语言,分析师预计此类手法将日益普遍。近期朝鲜黑客活动频频:4月通过虚假公司Blocknovas LLC和Softglide LLC分发恶意软件;5月韩国与欧盟宣布加强合作打击网络犯罪;链上数据显示2024年朝鲜黑客窃取资金高达13亿美元。两天前,美国司法部还指控四名朝鲜人通过伪装区块链公司IT员工窃取超90万美元加密货币。
报告显示,攻击者采用经典的社会工程学手段诱骗受害者:首先通过Telegram冒充联系人进行初步接触,安排Calendly会议邀请,随后发送包含Zoom链接的邮件,诱导用户安装所谓的"Zoom SDK更新"。实际上,该链接会将用户导向伪装成Zoom官方域名的恶意AppleScript文件。
NimDoor在入侵系统后会部署两个Mach-O二进制文件:一个是用于发起特洛伊木马攻击的C++程序,另一个则是确保恶意软件持续运行的Nim编译安装程序。该恶意软件最终会窃取包括谷歌Chrome、Firefox等浏览器的登录凭证及浏览记录,以及Telegram通信数据,并将这些信息发送至攻击者控制的服务器。
值得注意的是,这并非朝鲜相关黑客首次使用冷门编程语言。此前他们曾使用过Go、Rust和Crystal等语言,分析师预计此类手法将日益普遍。近期朝鲜黑客活动频频:4月通过虚假公司Blocknovas LLC和Softglide LLC分发恶意软件;5月韩国与欧盟宣布加强合作打击网络犯罪;链上数据显示2024年朝鲜黑客窃取资金高达13亿美元。两天前,美国司法部还指控四名朝鲜人通过伪装区块链公司IT员工窃取超90万美元加密货币。
相关标签
朝鲜黑客
加密货币
网络安全
恶意软件
Web3