Image by Compare Fiber, from Unsplash
Поддельные обновления Zoom используются в кампании по хакерской атаке на криптовалюты
Время для прочтения: 2 мин.
Последние обновления: Jul 5, 2025
-
![Киара Фаббри]()
-
![Сара Фрейзер]()
Перевод выполнен Сара Фрейзер Редактор по кибербезопасности
Северокорейская хакерская группа стоит за новым методом кибератак на компании Web3 и криптовалюты, используя редкий тип вредоносного ПО для macOS.
Спешите? Вот основные факты:
- Северокорейские хакеры атакуют криптовалютные компании с помощью продвинутого вредоносного ПО для macOS.
- Вредоносное ПО использует язык Nim и поддельные обновления Zoom.
- Жертвы связываются через Telegram с использованием социальной инженерии.
Исследователи из Sentinel Labs назвали эту семью вредоносных программ NimDoor, поскольку она использует редкий язык программирования Nim.
Атака начинается с хитрости социальной инженерии. Злоумышленники достигают своих целей через Telegram, выдавая себя за коллег. Затем они просят жертв выполнить «скрипт обновления Zoom SDK» после отправки им поддельной ссылки на собрание через Zoom. Злонамеренный скрипт, содержащий 10,000 пустых строк и одну опечатку («Zook» вместо «Zoom»), затем загружает 2 исполняемых файла.
Как только он активирован, вредоносный программный код загружает и устанавливает несколько вредоносных программ, включая ту, которая может украсть учетные данные для входа, данные браузера и историю чата в Telegram. Другой скрипт тайно копирует системные файлы пользователей, данные Keychain и даже историю терминала, отправляя всё это обратно на удаленный сервер.
В отличие от большинства вредоносных программ для macOS, NimDoor использует передовые методы, такие как внедрение в процесс, в сочетании с зашифрованной коммуникацией WebSocket Secure (wss). Из-за своих передовых функций, вредоносное ПО становится все более сложным для обнаружения, поскольку они обеспечивают безопасное взаимодействие с командными серверами.
Одной из выдающихся особенностей является механизм устойчивости: даже если пользователь или система пытаются остановить вредоносное ПО, оно само переустанавливается с использованием собственных инструментов обработки сигналов macOS (SIGINT/SIGTERM).
«Злоумышленники продолжают изучать кросс-платформенные языки, которые вводят новые уровни сложности для аналитиков,» — написали исследователи Sentinel Labs Фил Стокс и Рафаэле Сабато. Они предупреждают, что использование злоумышленниками Nim и AppleScript, вместе с поддельными уведомлениями об обновлениях, свидетельствует о новом уровне их совершенства.
Эксперты по безопасности рекомендуют платформам Web3 и криптовалютам усилить свои меры безопасности и обучать персонал методам социальной инженерии, учитывая, что эта кампания по распространению вредоносного ПО показывает, как злоумышленники могут использовать эксплуатацию доверия для проникновения в защищенные системы.
Предыдущая история
Последние статьи 
