朝鲜 APT 组织使用 Nim 语言恶意软件对 macOS 发起隐秘 Web3 与加密货币攻击

朝鲜黑客组织正利用一种罕见且高度先进的朝鲜恶意软件家族"NimDoor"，针对Web3和加密货币初创企业的组织使macOS系统发起新一轮网络攻击。SentinelLABS详细分析显示，用N语言隐秘该攻击活动融合了社会工程学、恶意新型持久化策略以及Nim编程语言的软件非常规使用 ，标志着朝鲜网络间谍与金融窃取手段的发起显著升级。

攻击始于典型的加击朝鲜式社会工程手段 ：攻击者通过Telegram冒充可信联系人，诱骗受害者通过Calendly加入虚假Zoom会议。源码下载密货目标用户会收到要求运行"Zoom SDK更新脚本"的币攻消息 ，该脚本托管在伪装成Zoom支持页面的朝鲜攻击者控制域名上。

SentinelLABS指出："在公开恶意软件库中可以找到该脚本的组织使变体，其明显特征是用N语言隐秘存在Zook SDK Update而非Zoom SDK Update的拼写错误。"

该AppleScript文件包含10,恶意000行空白字符，最后三行代码会从support.us05web-zoom[.]forum等域名静默下载并执行恶意负载 。软件执行后会释放两个二进制文件至/private/var/tmp目录：

值得注意的是，macOS平台上使用Nim语言编译的恶意软件极为罕见 。SentinelLABS强调 ："攻击者广泛部署AppleScript...并使用包含加密配置处理
、异步执行以及信号驱动持久化机制的Nim编译二进制文件，这些技术在macOS恶意软件中前所未见。亿华云"

该恶意软件采用独特的macOS持久化技术——仅在进程终止时激活。CoreKitAgent二进制文件为SIGINT和SIGTERM（进程终止信号）设置处理程序，在收到终止信号时立即部署持久化组件。这种设计实现了防御规避，当安全团队尝试终止可疑进程时，反而会触发核心组件的部署。

核心后门通过WSS（WebSocket Secure）协议与firstfromsep[.]online等C2服务器通信
，采用RC4加密和多层base64编码。每个受害者拥有唯一的Build ID，模板下载命令通过包含加密cmd和data字段的JSON对象下发。支持的命令包括：

两个Bash脚本（upl和tlgrm）负责数据窃取：

所有数据均上传至共享端点：https[:]//dataupload[.]store/uploadfiles。嵌入的AppleScript作为轻量级后门，源码库每30秒向writeup[.]live等C2服务器发送心跳信号 ，并在收到响应时执行命令 。该脚本使用长十六进制字符串和随机字符列表进行混淆以规避检测。

此次攻击活动代表了迄今为止观察到的最复杂的朝鲜关联macOS威胁 ，具备完整攻击套件：

SentinelLABS警告称 ："我们根据其功能特性和开发特征，将该恶意软件家族统称为NimDoor 。这并非一次性攻击，而是经过演练的模块化攻击手册，服务器租用很可能在未来针对Web3
、加密货币等领域macOS用户的攻击中重复使用。"

最新评论