Современный мир криптовалют продолжает испытывать серьезные вызовы в сфере кибербезопасности. Одной из последних тенденций стала активизация северокорейских хакерских группировок, нацеленных на криптопроекты и пользователей Mac-устройств. Несмотря на распространенное мнение о том, что компьютеры Apple имеют повышенный уровень защиты, киберпреступники находят все новые способы обхода систем безопасности, используя инновационные методы и малоизвестные программные технологии. По сообщениям специалистов в области кибербезопасности из Sentinel Labs, северокорейские злоумышленники запускают целенаправленные атаки с применением необычного вредоносного ПО, которое они создали на языке программирования Nim. Этот язык редок и практически не используется в массовом программировании, однако обладает особенностями, которые делают вредоносные программы почти неуловимыми для традиционных антивирусных решений.
Атака начинается с социального инженерства — хакеры выдают себя за хорошо знакомых и доверенных лиц в мессенджерах, таких как Telegram. Затем они предлагают жертве принять участие в видеоконференции с помощью поддельной ссылки Google Meet, замаскированной под важное обновление Zoom. Этим создается доверие и соблазн для установки вредоносного файла, который маскируется под обновление Zoom. После того как пользователь запускает обновление, на Mac-устройство устанавливается вредоносный модуль под названием NimDoor. Эта программа незаметно собирает широкие технические данные — от паролей в браузерах до криптокошельков и записей с экрана.
NimDoor также умеет похищать локальную базу данных Telegram вместе с ключами для расшифровки, что дает хакерам доступ к зашифрованной переписке жертвы. Стандартный ход атаки включает в себя период ожидания около десяти минут перед активацией вредоносного кода. Это делается с целью обойти средства обнаружения и повысить шансы успешного вторжения. Интересно, что NimDoor способен обойти встроенные механизмы защиты Apple, такие как защита памяти, что еще раз доказывает высокую квалификацию и ресурсы хакеров, стоящих за кибератакой. Не менее важной особенностью является тот факт, что вредоносное ПО написано на языке Nim, который может компилироваться в исполняемые файлы для Windows, macOS и Linux без внесения изменений в исходный код.
Это дает злоумышленникам возможность создавать кроссплатформенный софт, существенно упрощая разработку и масштабирование атак. Еще один аспект сложной работы NimDoor — это его модуль CryptoBot, который специализируется именно на хищении криптовалюты. Этот инфостилер способен перехватывать данные из различных браузерных расширений и плагинов, используемых для хранения криптокошельков. Таким образом, атака нацелена на наиболее ценные цифровые активы жертв с максимальной эффективностью. Ранее считалось, что macOS менее уязвима к вирусам и вредоносным программам, однако наглядные примеры последних инцидентов показывают обратное.
Среди прочих угроз, похожие кампании аттак были связаны с группировкой BlueNoroff, ассоциированной с государственным хакерским аппаратом Северной Кореи. Huntress, еще один поставщик кибербезопасности, рассказал о таких вторжениях в июне 2025 года. Эксперты предупреждают пользователей Mac о важности повышения бдительности при работе с незнакомыми ссылками и загрузками, особенно если речь идет о запросах на установку обновлений от приложений, таких как Zoom. Официальные обновления всегда следует скачивать напрямую с официальных сайтов или авторизованных источников. Кроме технических рекомендаций, необходимо усилить информационное просвещение среди участников криптоэкосистемы, чтобы снизить вероятность успешных мошеннических нападок.
Поскольку криптовалюты остаются привлекательной целью для государства-спонсируемых и организованных хакерских групп, повышать уровень защиты стоит как в компаниях, работающих в сфере блокчейн-технологий, так и среди розничных пользователей. Также становится важным использовать интегрированные средства безопасности и технологии мониторинга, которые могут обнаруживать подозрительную активность, связанную с похищением данных и кражей средств. Использование многофакторной аутентификации, надежных паролей и хранение приватных ключей в аппаратных кошельках может значительно снизить риски. Масштабирование подобных атак и постоянное усовершенствование вредоносных инструментов подчеркивают необходимость международного сотрудничества в области информационной безопасности и обмена разведданными. Успешная защита криптопроектов и их пользователей зависит от скоординированных усилий разработчиков, экспертов по кибербезопасности и государственных структур.
