Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, telah mengungkap kampanye peretasan tingkat lanjut yang menyasar pengguna macOS, yang dikenal dengan sebutan NimDoor dan diduga dilakukan oleh kelompok yang terafiliasi dengan Korea Utara. Sasaran utamanya adalah komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang sering menggunakan perangkat Mac.
Skema serangan ini dimulai dengan menyamar sebagai pihak terpercaya yang mengundang korban untuk menjadwalkan rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta pembaruan aplikasi Zoom. Saat korban mengklik tautan pembaruan tersebut, dua file berbahaya akan diunduh ke perangkat Mac mereka, yang akan meluncurkan dua proses terpisah: mengambil informasi sistem dan data aplikasi, serta memberi akses jangka panjang ke perangkat korban. Selain itu, malware juga menyusupkan dua skrip Trojan Bash yang mencuri data dari berbagai browser serta mengambil informasi terenkripsi dari Telegram.
Metode ini sulit dideteksi karena menggunakan bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran tingkat lanjut. Kelompok peretas ini terlihat konsisten dalam mengejar target-target Web3 secara global, seperti yang terdeteksi sebelumnya oleh Huntabil.IT dan Huntress. Tindakan pencegahan dan kehati-hatian ekstra sangat diperlukan bagi pengguna Mac yang terlibat dalam Web3 untuk melindungi diri dari serangan peretasan yang semakin canggih.
