Nordkoreanische Hacker verbreiten NimDoor macOS-Malware über gefälschte Zoom-Updates

Ein neuer Bericht von SentinelLabs vom 2. Juli 2025 enthüllt eine ausgeklügelte Cyberangriffskampagne, die sich gegen Web3- und Kryptowährungsunternehmen richtet. Mit Nordkorea verbündete Bedrohungsakteure nutzen macOS-Systeme aggressiv mit einer neu entdeckten Schadsoftware namens NimDoor aus und nutzen komplexe, mehrstufige Angriffe und verschlüsselte Kommunikation, um unentdeckt zu bleiben.

Die von Phil Stokes und Raffaele Sabato verfasste und Hackread.com zur Verfügung gestellte Studie unterstreicht die zunehmende Verbreitung von Angreifern hin zu weniger verbreiteten, plattformübergreifenden Programmiersprachen wie Nim. Dieser Wandel erschwert die Erkennung und Analyse ihrer bösartigen Aktivitäten.

Die Gruppe nutzt AppleScript zudem auf clevere Weise – nicht nur für den ersten Angriff, sondern auch für einfache, schwer zu erkennende Hintertüren. Ihre Methoden sind deutlich besser darin, verborgen und dauerhaft zu bleiben, beispielsweise durch verschlüsselte WebSocket-Kommunikation (WSS) und ungewöhnliche Methoden, um den Zugriff auch nach vermeintlicher Deaktivierung der Malware aufrechtzuerhalten.

Die Angriffe beginnen mit einem bekannten Social-Engineering-Trick: Hacker geben sich auf Plattformen wie Telegram als vertrauenswürdige Kontakte aus und laden Opfer zu gefälschten Zoom-Meetings ein. Sie versenden E-Mails mit einem bösartigen Zoom-SDK-Update-Skript, das zwar legitim aussieht, in Wirklichkeit aber mit Tausenden von Zeilen versteckten Codes stark getarnt ist. Dieses Skript lädt dann weitere Schadprogramme von den vom Angreifer kontrollierten Websites herunter, die oft Namen verwenden, die echten Zoom-Domains ähneln, um Benutzer zu täuschen.

Einmal im System angekommen, verläuft der Infektionsprozess vielschichtig. Die Hacker setzen verschiedene Tools ein, darunter ein C++-Programm, das Schadcode in legitime Prozesse einschleust – eine seltene Technik für macOS-Malware. Dadurch können sie sensible Daten wie Browserinformationen, Schlüsselbund-Passwörter, Shell-Verläufe und Telegram-Chatverläufe stehlen.

Laut einem Blogbeitrag von SentinelLabs installieren sie außerdem die von Nim kompilierte Schadsoftware „NimDoor“, die einen dauerhaften Zugriff ermöglicht. Diese enthält eine Komponente namens „GoogIe LLC“ (beachten Sie das irreführende große „i“ anstelle des kleinen „L“), die der Schadsoftware hilft, sich unsichtbar zu machen. Interessanterweise verfügt die Schadsoftware über eine einzigartige Funktion, die ihre Hauptkomponenten aktiviert und so den fortgesetzten Zugriff gewährleistet, wenn ein Benutzer versucht, sie zu schließen oder das System neu startet.

Die Analyse von SentinelLabs zeigt, dass diese mit Nordkorea verbündeten Akteure ständig neue Wege entwickeln, Sicherheitsvorkehrungen zu umgehen. Ihre Verwendung von Nim, einer Programmiersprache, die es ihnen ermöglicht, komplexe Verhaltensweisen in kompilierte Programme einzubetten, erschwert es Sicherheitsexperten, die Funktionsweise der Malware zu verstehen. Darüber hinaus hilft ihnen die Verwendung von AppleScript für einfache Aufgaben wie die regelmäßige Überprüfung ihrer Server, den Einsatz herkömmlicher, leicht erkennbarer Hacker-Tools zu vermeiden.

Der Bericht zeigt weiter, wie wichtig es für Unternehmen ist, ihre Abwehrmaßnahmen zu stärken, da sich diese Bedrohungen ständig verändern. Da Hacker neue Programmiersprachen und fortschrittlichere Taktiken ausprobieren, müssen Cybersicherheitsforscher ihre Methoden zur Erkennung und Abwehr dieser Angriffe aktualisieren. SentinelLabs fasst dies zusammen und bezeichnet sie als „unvermeidliche Angriffe“, auf die jeder vorbereitet sein sollte.