Hackers norte-coreanos espalham malware NimDoor para macOS por meio de atualizações falsas do Zoom

Um novo relatório do SentinelLabs, divulgado em 2 de julho de 2025, revela uma sofisticada campanha de ciberataque direcionada a empresas de Web3 e criptomoedas . Criminosos alinhados à Coreia do Norte estão explorando agressivamente sistemas macOS com um malware recém-descoberto chamado NimDoor, utilizando ataques complexos em várias etapas e comunicações criptografadas para permanecerem indetectáveis.

A pesquisa, de autoria de Phil Stokes e Raffaele Sabato e compartilhada com o Hackread.com, destaca a mudança dos invasores para linguagens de programação menos comuns e multiplataforma, como o Nim. Essa mudança complica os esforços para detectar e analisar suas atividades maliciosas.

O grupo também utiliza o AppleScript de maneiras inteligentes, não apenas para a violação inicial, mas também como backdoors simples e difíceis de detectar. Seus métodos demonstram uma clara melhoria em sua capacidade de permanecer oculto e persistente, incluindo o uso de comunicação criptografada via WebSocket (wss) e maneiras incomuns de manter o acesso mesmo após o malware supostamente ter sido desativado.

Os ataques começam com um truque conhecido de engenharia social: hackers fingem ser contatos confiáveis ​​em plataformas como o Telegram, convidando alvos para falsas reuniões no Zoom . Eles enviam e-mails com um script malicioso de atualização do SDK do Zoom, projetado para parecer legítimo, mas que, na verdade, está fortemente disfarçado com milhares de linhas de código oculto. Esse script então baixa programas mais nocivos de sites controlados pelo invasor, que frequentemente usam nomes semelhantes a domínios reais do Zoom para enganar os usuários.

Uma vez lá dentro, o processo de infecção se torna multicamadas. Os hackers utilizam diversas ferramentas, incluindo um programa em C++ que injeta código malicioso em processos legítimos, uma técnica rara em malware para macOS. Isso lhes permite roubar dados confidenciais, como informações do navegador, senhas do Keychain, histórico de shell e históricos de bate-papo do Telegram.

De acordo com a publicação no blog do SentinelLabs, eles também instalam o malware "NimDoor", compilado pelo Nim, que configura acesso de longo prazo. Isso inclui um componente chamado "GoogIe LLC" (observe o enganoso "i" maiúsculo em vez do "L" minúsculo), que ajuda o malware a se camuflar. Curiosamente, o malware inclui um recurso exclusivo que aciona seus principais componentes e garante acesso contínuo caso um usuário tente fechá-lo ou o sistema seja reinicializado.

A análise do SentinelLabs mostra que esses agentes alinhados à Coreia do Norte estão constantemente desenvolvendo novas maneiras de burlar a segurança. O uso do Nim, uma linguagem que permite incorporar comportamentos complexos em programas compilados, dificulta a compreensão do funcionamento do malware por especialistas em segurança. Além disso, o uso do AppleScript para tarefas simples, como verificar regularmente seus servidores, os ajuda a evitar o uso de ferramentas de hacking mais tradicionais e facilmente detectáveis.

O relatório continua demonstrando a importância de as empresas fortalecerem suas defesas, já que essas ameaças estão em constante mudança. À medida que os hackers experimentam novas linguagens de programação e táticas mais avançadas, os pesquisadores de segurança cibernética precisam atualizar a forma como detectam e impedem esses ataques. O SentinelLabs resume isso chamando-os de "ataques inevitáveis" para os quais todos devem estar preparados.