Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, telah mengungkap kampanye peretasan yang ditujukan kepada pengguna macOS yang dikenal sebagai NimDoor. Serangan ini disinyalir berasal dari aktor ancaman yang terkait dengan Korea Utara (DPRK) dan menargetkan komunitas serta pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang menggunakan perangkat Mac untuk aktivitas kerja dan manajemen aset digital.
Serangan dilakukan dengan modus yang rumit namun efektif, dimulai dengan menyamar sebagai pihak yang terpercaya yang mengundang korban untuk menjadwalkan rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta pembaruan aplikasi Zoom, dan tanpa disadari, mengklik tautan pembaruan yang mengunduh dua file berbahaya ke sistem Mac mereka. File tersebut kemudian menjalankan dua proses terpisah, yaitu mengumpulkan informasi sistem dan data aplikasi, serta memberikan akses jangka panjang ke perangkat korban.
Selain itu, malware ini juga menyusupkan dua skrip Trojan Bash yang secara khusus mencuri data dari berbagai browser seperti Chrome, Firefox, Brave, Arc, dan Edge, serta mengekstrak informasi terenkripsi dari Telegram. Metode ini sulit terdeteksi karena menggunakan bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran tingkat lanjut. Sekali lagi, peretas ini menunjukkan konsistensi dalam menargetkan komunitas Web3 secara global, seperti yang sebelumnya terdeteksi oleh Huntabil.IT dan Huntress.
