北朝鮮系ハッカーが新型Appleマルウェアを展開、暗号資産業界に迫る脅威－その手口を解説

北朝鮮と関連する脅威アクターが、Web3および暗号資産業界の企業を標的にした新種のマルウェア『NimDoor』を展開しています。Nimプログラミング言語でコンパイルされたこの高度なマルウェアは、macOSシステムを特に対象としています。Nimはコンパイル時にコード実行が可能な特性を持ち、ランタイムとマルウェアロジックが混合したバイナリを生成するため、逆解析や検知が困難です。

セキュリティ企業SentinelLabsの報告によると、この攻撃キャンペーンは最初に2025年4月にある暗号スタートアップへの攻撃で観測されました。その後、複数のセキュリティ企業が同様のインシデントを確認しています。

攻撃者は古典的なソーシャルエンジニアリング手法を使用し、Telegramでなりすましコンタクトから被害者に接近、Calendly経由で会議を設定させます。その後、Zoomリンクと『Zoom SDK更新プログラム』のインストールを指示するメールが送付されます。リンクはZoom公式URLに似せたドメイン上にホストされたAppleScriptファイルへ誘導し、このスクリプトは数千行の空白で埋め尽くされた後に、攻撃者管理サーバーから第二段階ペイロードを取得するコードで終わります。

初期ダウンロード後、マルウェアはシステムの一時ディレクトリに2つのMach-Oバイナリを展開。C++で記述された最初のバイナリはトロイの木馬を起動するプロセスインジェクションを実行し、Nimでコンパイルされた2番目の『インストーラー』とラベル付けされたバイナリは、システム再起動後も持続性を確保するツールをインストールします。最終段階では2つのNimベースバイナリ『GoogIe LLC』と『CoreKitAgent』が配置され、長期アクセスとシステム監視を担当します。

SentinelLabsは、北朝鮮系ハッカーが一般的でないプログラミング言語を使用するのは今回が初めてではないと指摘。過去にはGoやRust、最近ではCrystalも使用されています。専門家は、従来の検知ツールを回避するため、こうした言語の使用が増加すると予想しています。

今回のサイバーセキュリティ脅威は、北朝鮮発の攻撃リストに新たに追加されました。2025年4月には、偽造住所で登録された架空企業『Blocknovas LLC』『Softglide LLC』を通じて米国の暗号開発者を標的とした事件が発生しています。また5月には韓国とEUが北朝鮮の暗号犯罪に対抗するため緊密な協力を約束しました。

なお、チェーンアナリシスのデータによると、北朝鮮系ハッカーは2024年だけで13億ドル相当の暗号資産を窃取したと報告されています。