Le malware NimDoor sur macOS cible les startups crypto via Zoom

Des hackers, apparemment nord-coréens, ont lancé une campagne de malware macOS sophistiquée, baptisée « NimDoor » par les chercheurs de SentinelLabs, visant les startups crypto et Web3 via de fausses mises à jour Zoom. Voici ce qu'il faut savoir.

Une attaque complexe sur Mac

L’attaque NimDoor utilise un mélange complexe d’AppleScript, Bash, C++ et Nim pour voler des données et maintenir un accès persistant aux systèmes compromis. Les principales conclusions de SentinelLabs incluent :

  • Les acteurs de la DPRK utilisent des binaires compilés en Nim et des chaînes d’attaque multi-étapes ciblant les entreprises crypto.
  • Le malware emploie une technique d’injection de processus et communique via le protocole WebSocket chiffré (wss).
  • Une méthode de persistance unique exploite les gestionnaires de signaux SIGINT/SIGTERM pour se réinstaller après une terminaison ou un redémarrage.
  • Les AppleScripts permettent un accès initial et servent de balises et de portes dérobées légères.
  • Des scripts Bash extraient les identifiants Keychain, les données de navigation et les informations des utilisateurs de Telegram.

Déroulé de l’attaque

Les victimes sont contactées via Telegram par des imposteurs se faisant passer pour des contacts de confiance, qui organisent un appel via l'app Calendly et envoient un faux lien Zoom avec une mise à jour malveillante du « Zoom SDK ». Ce fichier, dont le code est fortement obfuscé avec des milliers de lignes d’espaces blancs, déclenche une série d’événements lors de son exécution, établissant une connexion chiffrée avec un serveur de commande et de contrôle, tout en assurant sa persistance lors des redémarrages.Une fois actif, le malware utilise des scripts Bash pour collecter et exfiltrer des données sensibles, y compris les identifiants et les informations des utilisateurs.

L'analyse de NimDoor par SentinelLABS montre comment les acteurs malveillants continuent d'explorer des langages multiplateformes qui introduisent de nouveaux niveaux de complexité pour les analystes.

Les acteurs malveillants nord-coréens ont déjà expérimenté Go et Rust, combinant également scripts et binaires compilés dans des chaînes d'attaque à plusieurs étapes. Cependant, la capacité unique de Nim à exécuter des fonctions pendant la compilation permet aux attaquants d'intégrer des comportements complexes dans un binaire au flux de contrôle moins évident, ce qui produit des binaires compilés dans lesquels le code du développeur et le code d'exécution de Nim sont entremêlés, même au niveau des fonctions.

Parallèlement, les attaquants exploitent pleinement les capacités de script intégrées de macOS. Exploiter AppleScript pour effectuer des tâches telles que le balisage est une approche innovante qui supprime le recours à un framework post-exploitation traditionnel et le « bruit » de détection que ces implants peuvent générer. De plus, l'utilisation de wss pour les communications et les interruptions de signal afin de déclencher une logique de persistance témoigne une fois de plus du développement actif de nouvelles méthodes pour contourner les mesures de sécurité.

Ce recours à des langages multiplateformes complexes comme Nim marque une évolution des tactiques de piratage nord-coréennes, dépassant leur dépendance habituelle aux scripts Go, Python et shell.

Si vous avez des comptes sensibles sur votre Mac, comme des accès bancaires, bourse ou crypto, faites attention aux messages que vous ouvrez, aux réseaux sur lesquels vous vous connectez et aux périphériques que vous branchez. Pour un surplus de sécurité, n'hésitez pas à voir du côté des anti-virus pour macOS.

1 réaction

Pseudonain - iPhone

DPRK c’est RPDC en français

03/07/2025 à 12h55

Donnez votre avis
Vous aimerez peut-être

Suivez-nous avec notre app iSoft
Articles populaires
Les derniers articles