Peneliti keamanan siber dari SentinelLabs telah mengungkap kampanye peretasan tingkat lanjut yang menargetkan pengguna macOS. Kampanye ini dikenal dengan nama NimDoor dan diduga dilakukan oleh aktor ancaman yang berhubungan dengan Korea Utara (DPRK). Sasarannya adalah komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang sering menggunakan perangkat Mac.
Modus operandi peretas sangat kreatif dalam menipu korban. Mereka menyamar sebagai pihak tepercaya yang mengundang korban untuk menjadwalkan rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta pembaruan aplikasi Zoom. Saat korban mengklik tautan pembaruan tersebut, dua file berbahaya langsung diunduh ke perangkat Mac mereka. File-file ini kemudian meluncurkan proses-proses terpisah untuk mengambil informasi sistem dan memberikan akses jangka panjang ke perangkat korban.
Malware juga menyusupkan skrip Trojan Bash yang spesifik dalam mencuri data dari browser seperti Chrome, Firefox, Brave, Arc, dan Edge, serta mengekstrak informasi terenkripsi dari Telegram. Metode ini sulit dideteksi karena menggunakan bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran tingkat tinggi. Kelompok peretas ini diketahui telah menargetkan korban Web3 secara global, seperti yang dilaporkan oleh SentinelLabs, Huntabil.IT, dan Huntress sebelumnya.
