朝鲜黑客针对macOS进行最新的恶意软件攻击，目标是加密货币公司

朝鲜网络犯罪分子一直在针对加密公司，使用一种新型恶意软件，该恶意软件利用苹果设备进行多阶段攻击。

网络安全公司Sentinel Labs的研究人员就这一活动发出了警告，该活动利用社会工程学和高级持久性技术来攻陷macOS系统。

恶意软件被称为“NimDoor”，它是用较不知名的Nim编程语言编写的，并且能够躲避传统的杀毒工具。

根据Sentinel Labs的报告，攻击者通过在Telegram等消息平台上冒充受信任的个人来发起联系。在这种情况下，受害者似乎是区块链或Web3公司的员工，他们通过网络钓鱼链接被引诱进入虚假的Zoom会议，并被指示安装看似例行的Zoom SDK更新。

一旦执行，更新脚本会在受害者的Mac设备上安装多个阶段的恶意软件。这些包括基于AppleScript的信标、用于凭证盗取的Bash脚本，以及用Nim和C++编译的二进制文件，用于持久性和远程命令执行。

二进制文件是独立的程序文件，在恶意软件链中执行特定任务。其中一个名为 CoreKitAgent 的二进制文件使用基于信号的持久性机制，当用户尝试关闭恶意软件时运行，使其即使在系统重启后仍然保持活动。

加密货币是该操作的主要目标。恶意软件特别寻找与数字钱包相关的浏览器存储凭证和应用程序数据。

恶意软件执行脚本，旨在从流行浏览器提取信息，如Chrome、Brave、Edge和Firefox，以及Apple的Keychain密码管理器。另一个组件针对Telegram的加密数据库和密钥文件，可能暴露通过该消息应用交换的钱包种子短语和私钥。

负责的朝鲜黑客

Sentinel Labs将此活动归因于与北朝鲜相关的威胁行为者，延续了朝鲜民主主义人民共和国针对加密货币的网络攻击模式。

黑客组织如Lazarus长期以来一直针对数字资产公司，试图绕过国际制裁并为国家行动提供资金。以往的行动中，恶意软件使用Go和Rust编写，但此次行动标志着Nim首次大规模部署于macOS目标。

据crypto.news早前报道，在2023年底，研究人员观察到另一个与朝鲜民主主义人民共和国（DPRK）相关的活动，该活动部署了一种名为Kandykorn的基于Python的恶意软件。它通过伪装成加密套利机器人在Discord服务器上分发，主要针对使用macOS的区块链工程师。

Sentinel Labs 警告称，随着威胁行为者越来越多地采用晦涩的编程语言和复杂的技术，传统的关于 macOS 的安全假设已不再有效。

在过去几个月中，几种恶意软件针对苹果用户，包括通过 iOS 照片库窃取种子短语的 SparkKitty，以及一个在 macOS 上用恶意版本替换钱包应用的木马。