据《The Block》报道:SentinelLabs 警告称朝鲜黑客利用伪装成 Zoom 更新的 NimDoor 后门病毒攻击 macOS 系统,窃取加密钱包数据与密码
安全公司 SentinelLabs 在一份最新研究报告中警告称,一个朝鲜网络攻击组织正在使用一种名为 NimDoor 的新型 macOS 后门病毒,感染苹果设备,从而入侵加密货币公司并窃取钱包凭证与浏览器密码。
该病毒隐藏在伪造的 Zoom 更新程序 中,传播手法主要通过 Telegram 社交平台展开,攻击者采用了熟悉的 社交工程策略:先通过 Telegram 接触目标用户,随后在 Calendly 上安排“会议”,诱使受害者下载伪装成 Zoom 更新的恶意安装包。该软件通过“旁加载”(sideloading)方式绕过 Apple 的安全检测机制,成功在设备中运行。
NimDoor 的特殊之处 在于它是使用一种极少在恶意软件中使用的小众编程语言 Nim 编写的,这也让它避开了苹果当前的病毒库识别。
一旦安装,该后门将会:
收集浏览器保存的密码;
窃取 Telegram 本地数据库;
提取加密钱包文件;
并创建登录启动项,实现持久化运行及下载后续攻击模块。
SentinelLabs 建议:
加密公司应禁止所有 未签名的安装包;
仅从 zoom.us 官网下载 Zoom 更新;
审查 Telegram 联系人列表,警惕主动发送可执行文件的陌生账号。
这次攻击是朝鲜持续针对 Web3 行业攻击行动的一部分。此前,Interchain Labs 曾透露,Cosmos 项目团队一度 无意中雇佣了朝鲜开发者。同时,美国司法部也指控数名朝鲜籍嫌疑人,指其通过 Tornado Cash 清洗超过 90 万美元的被盗加密货币,这些人假冒美国公民身份,策划多项网络攻击。
根据区块链安全公司 TRM Labs 的最新估算,2025 年上半年,与朝鲜有关联的黑客组织共窃取了超过 16 亿美元的加密资产。其中,仅今年 2 月份的 Bybit 攻击事件就造成 15 亿美元损失,占据上半年 Web3 所有加密损失的 70% 以上。
安全事件