小心！朝鲜黑客以非常有创意的方式瞄准Mac用户

SentinelLabs，网络安全公司SentinelOne的威胁研究与情报部门，研究了一个名为NimDoor的新型复杂攻击活动，针对来自朝鲜的恶意分子攻击macOS设备。 这个复杂的计划包括使用Nim编程语言将多个攻击链引入用于小型Web3企业的设备，这是最近的趋势。 自称的调查员ZachXBT还发现了一系列支付，支付给韩国IT员工，这可能是这个技术高超的黑客团队的一部分。 攻击是如何进行的 SentinelLabs的详细报告描述了一种新颖且难以理解的方法来侵入Mac设备。 开始以熟悉的方式：冒充一个可靠的联系人通过Calendly安排会议，然后目标将收到更新Zoom应用的电子邮件。 更新脚本以三行恶意代码结束，该代码用于从受控服务器检索并执行合法Zoom会议链接的第二阶段脚本。 点击链接将自动下载两个Mac二进制文件，初始化两个独立的执行链：第一个文件将删除通用系统信息和应用特定数据。第二个文件确保攻击者将对受影响的机器拥有持久访问权限。 攻击链随后通过 Trojan 安装了两个 Bash 脚本。一个脚本用于针对特定浏览器的数据：Arc、Brave、Firefox、Chrome 和 Edge。另一个脚本则窃取 Telegram 的加密数据和用于解密该数据的 blob。然后，数据被提取到受控服务器上。 使这种方法对安全分析师来说独特且充满挑战的原因在于使用多种恶意软件组件和多种技术来引入和伪装恶意软件，这使得检测变得非常困难。 跟踪资金 ZachXBT，一位匿名区块链调查员，最近在X上发布了他关于为多个朝鲜民主主义人民共和国(DPRK)的开发者进行的大额支付的最新发现，这些开发者自年初以来一直在多个不同项目上工作。 他已经确定了八名工人为12家不同的公司工作。 他的发现表明，每个月有276万美元USDC从Circle的账户发送到与开发者相关的地址。这些地址与Tether在2023年列入黑名单的一个地址非常接近，因为它与被指控的主谋Sim Hyon Sop有关。 Zach仍然持续关注类似的地址组，但尚未公开任何信息，因为它们仍在活动中。 他警告说，一旦这些工人掌握了合同的所有权，基础项目将面临很高的风险。 “我相信，当一个团队雇佣了大量DPRK ITW (IT员工)时，这是一个合理的指标，可以确定创业公司将会失败。与行业的其他威胁不同，这些员工的复杂性较低，因此主要是由于团队自身的疏忽所造成的。”