Attention ! Les hackers nord-coréens ciblent les utilisateurs de Mac de manière très créative.

SentinelLabs, la division de recherche et de renseignement sur les menaces de la société de cybersécurité SentinelOne, a étudié une nouvelle campagne d’attaque sophistiquée appelée NimDoor, ciblant des appareils macOS par des acteurs malveillants de la RPDC. Ce plan complexe implique l’utilisation du langage de programmation Nim pour introduire de nombreuses chaînes d’attaque dans les dispositifs utilisés par les petites entreprises Web3, ce qui est une tendance récente. Le soi-disant enquêteur ZachXBT a également découvert une série de paiements effectués pour des employés informatiques sud-coréens, qui pourraient faire partie de ce groupe de hackers talentueux. Comment l’attaque a-t-elle été menée ? Le rapport détaillé de SentinelLabs décrit une méthode nouvelle et obscure pour compromettre les dispositifs Mac. Commencez de manière familière : usurpez l’identité d’un contact de confiance pour planifier une réunion via Calendly, puis la cible recevra un e-mail pour mettre à jour l’application Zoom. Le script de mise à jour se termine par trois lignes de code malveillant ayant pour fonction d’extraire et d’exécuter le script de phase deux depuis un serveur contrôlé vers le lien de la réunion Zoom légitime. En cliquant sur le lien, deux fichiers binaires Mac seront automatiquement téléchargés, initialisant deux chaînes d’exécution indépendantes : le premier fichier supprimera les informations système générales et les données spécifiques à l’application. Le second fichier garantit que l’attaquant aura un accès prolongé à la machine affectée. La chaîne d’attaque s’est ensuite poursuivie en installant deux scripts Bash via un Trojan. Un script est utilisé pour cibler les données de navigateurs spécifiques : Arc, Brave, Firefox, Chrome et Edge. L’autre script vole les données cryptées de Telegram et un blob utilisé pour déchiffrer ces données. Ensuite, les données sont extraites vers un serveur contrôlé. Ce qui rend cette approche unique et très difficile pour les analystes en sécurité, c’est l’utilisation de nombreux composants de logiciels malveillants et de diverses techniques pour introduire et falsifier des logiciels malveillants, rendant la détection très difficile. Suivre l’argent ZachXBT, un enquêteur blockchain anonyme, a récemment publié sur X ses dernières découvertes concernant les paiements importants effectués à de nombreux développeurs de la République Démocratique Populaire de Corée (DPRK) travaillant sur divers projets depuis le début de l’année. Il a identifié huit travailleurs employés par douze entreprises différentes. La découverte de M. indique que 2,76 millions de dollars USDC ont été envoyés depuis des comptes Circle vers des adresses liées aux développeurs chaque mois. Ces adresses sont très proches d’une adresse qui a été mise sur liste noire par Tether en 2023, car elle est liée à un prétendu conspirateur nommé Sim Hyon Sop. Zach continue à surveiller des groupes d’adresses similaires, mais n’a pas encore rendu publique d’informations car ils sont toujours actifs. Il a averti qu’une fois que ces travailleurs auront la propriété du contrat, le projet de base sera à haut risque. “Je crois que lorsque un groupe embauche de nombreux employés informatiques DPRK ITW (, c’est un indicateur raisonnable pour déterminer que la startup échouera. Contrairement à d’autres menaces pour l’industrie, ces employés ont peu de sophistication, donc ils sont principalement le résultat de la négligence du groupe lui-même.”