Kuzey Koreli Hackerlar Sahte Zoom Güncellemeleriyle NimDoor macOS Kötü Amaçlı Yazılımını Bıraktı

SentinelLabs'ın 2 Temmuz 2025'te yayınladığı yeni bir rapor, Web3 ve kripto para şirketlerini hedef alan karmaşık bir siber saldırı kampanyasını ortaya koyuyor. Kuzey Kore ile uyumlu tehdit aktörleri, tespit edilmeden kalmak için karmaşık, çok aşamalı saldırılar ve şifreli iletişimler kullanarak, NimDoor adlı yeni keşfedilen bir kötü amaçlı yazılımla macOS sistemlerini agresif bir şekilde istismar ediyor.

Phil Stokes ve Raffaele Sabato tarafından yazılan ve Hackread.com ile paylaşılan araştırma, saldırganların Nim gibi daha az yaygın, platformlar arası programlama dillerine yöneldiğini vurguluyor. Bu değişiklik, kötü amaçlı faaliyetlerini tespit etme ve analiz etme çabalarını zorlaştırıyor.

Grup ayrıca AppleScript'i yalnızca ilk ihlal için değil aynı zamanda basit, fark edilmesi zor arka kapılar olarak da akıllıca yollarla kullanıyor. Yöntemleri, şifrelenmiş WebSocket (wss) iletişimi ve kötü amaçlı yazılım sözde kapatıldıktan sonra bile erişimi sürdürmenin alışılmadık yollarını kullanmak da dahil olmak üzere gizli ve kalıcı kalmada net bir iyileşme gösteriyor.

Saldırılar bilindik bir sosyal mühendislik hilesiyle başlıyor: bilgisayar korsanları Telegram gibi platformlarda güvenilir kişilermiş gibi davranarak hedefleri sahte Zoom toplantılarına davet ediyor. Meşru görünmek için tasarlanmış ancak aslında binlerce satır gizli kodla yoğun bir şekilde gizlenmiş kötü amaçlı bir Zoom SDK güncelleme betiği içeren e-postalar gönderiyorlar. Bu betik daha sonra saldırgan tarafından kontrol edilen web sitelerinden daha zararlı programlar indiriyor ve bu web siteleri genellikle kullanıcıları kandırmak için gerçek Zoom alan adlarına benzer adlar kullanıyor.

İçeri girdikten sonra, enfeksiyon süreci çok katmanlı hale gelir. Bilgisayar korsanları, macOS kötü amaçlı yazılımları için nadir bir teknik olan meşru süreçlere kötü amaçlı kod enjekte eden bir C++ programı da dahil olmak üzere çeşitli araçlar kullanır. Bu, tarayıcı bilgileri, Keychain parolaları, kabuk geçmişi ve Telegram sohbet geçmişleri gibi hassas verileri çalmalarına olanak tanır.

SentinelLabs'in blog yazısına göre, uzun vadeli erişim sağlayan Nim tarafından derlenen 'NimDoor' kötü amaçlı yazılımını da yüklüyorlar. Bu, kötü amaçlı yazılımın uyum sağlamasına yardımcı olan "GoogIe LLC" adlı bir bileşeni içeriyor (küçük harfli 'L' yerine aldatıcı büyük 'i'ye dikkat edin). İlginç bir şekilde, kötü amaçlı yazılım, ana bileşenlerini tetikleyen ve bir kullanıcı kapatmaya çalışırsa veya sistem yeniden başlatılırsa sürekli erişimi garantileyen benzersiz bir özellik içeriyor.

SentinelLabs'in analizi, bu Kuzey Kore yanlısı aktörlerin güvenliği aşmak için sürekli olarak yeni yollar geliştirdiğini gösteriyor. Derlenmiş programlara karmaşık davranışlar yerleştirmelerine olanak tanıyan bir dil olan Nim'i kullanmaları, güvenlik uzmanlarının kötü amaçlı yazılımın nasıl çalıştığını anlamasını zorlaştırıyor. Ayrıca, sunucularını düzenli olarak kontrol etmek gibi basit görevler için AppleScript kullanmak, daha geleneksel, kolayca tespit edilebilen bilgisayar korsanlığı araçlarını kullanmaktan kaçınmalarına yardımcı oluyor.

Rapor, şirketlerin bu tehditler değişmeye devam ederken savunmalarını güçlendirmelerinin ne kadar önemli olduğunu göstermeye devam ediyor. Bilgisayar korsanları yeni programlama dillerini ve daha gelişmiş taktikleri denedikçe, siber güvenlik araştırmacılarının bu saldırıları nasıl tespit edip durdurduklarını güncellemeleri gerekiyor. SentinelLabs, herkesin hazır olması gereken "kaçınılmaz saldırılar" olarak adlandırarak bunu özetliyor.