朝鮮黑客組織正利用一種罕見且高度先進的惡意軟件家族"NimDoor"，針對Web3和加密貨幣初創企業的macOS系統發起新一輪網絡攻擊。SentinelLABS詳細分析顯示，該攻擊活動融合了社會工程學、新型持久化策略以及Nim編程語言的非常規使用，標志著朝鮮網絡間諜與金融竊取手段的顯著升級。

攻擊鏈分析

攻擊始于典型的朝鮮式社會工程手段：攻擊者通過Telegram冒充可信聯系人，誘騙受害者通過Calendly加入虛假Zoom會議。目標用戶會收到要求運行"Zoom SDK更新腳本"的消息，該腳本托管在偽裝成Zoom支持頁面的攻擊者控制域名上。

SentinelLABS指出："在公開惡意軟件庫中可以找到該腳本的變體，其明顯特征是存在'Zook SDK Update'而非'Zoom SDK Update'的拼寫錯誤。"

該AppleScript文件包含10,000行空白字符，最后三行代碼會從support.us05web-zoom[.]forum等域名靜默下載并執行惡意負載。執行后會釋放兩個二進制文件至/private/var/tmp目錄：

• a- 采用C++編寫的二進制文件，負責初始系統指紋識別并將shellcode注入良性進程
• installer- Nim編譯的通用二進制文件，用于建立持久化機制并投放后續負載（GoogIe LLC和CoreKitAgent）

技術突破點

值得注意的是，macOS平臺上使用Nim語言編譯的惡意軟件極為罕見。SentinelLABS強調："攻擊者廣泛部署AppleScript...并使用包含加密配置處理、異步執行以及信號驅動持久化機制的Nim編譯二進制文件，這些技術在macOS惡意軟件中前所未見。"

該惡意軟件采用獨特的macOS持久化技術——僅在進程終止時激活。CoreKitAgent二進制文件為SIGINT和SIGTERM（進程終止信號）設置處理程序，在收到終止信號時立即部署持久化組件。這種設計實現了防御規避，當安全團隊嘗試終止可疑進程時，反而會觸發核心組件的部署。

通信與數據竊取

核心后門通過WSS（WebSocket Secure）協議與firstfromsep[.]online等C2服務器通信，采用RC4加密和多層base64編碼。每個受害者擁有唯一的Build ID，命令通過包含加密cmd和data字段的JSON對象下發。支持的命令包括：

• execCmd- 執行任意shell命令
• getSysInfo- 提取系統信息
• getCwd/setCwd- 文件系統操作

兩個Bash腳本（upl和tlgrm）負責數據竊取：

• upl竊取Chrome、Firefox、Edge、Brave和Arc等瀏覽器的數據，以及鑰匙串文件和shell歷史記錄
• tlgrm竊取Telegram加密的本地數據庫和密鑰塊用于潛在解密

所有數據均上傳至共享端點：https[:]//dataupload[.]store/uploadfiles。嵌入的AppleScript作為輕量級后門，每30秒向writeup[.]live等C2服務器發送心跳信號，并在收到響應時執行命令。該腳本使用長十六進制字符串和隨機字符列表進行混淆以規避檢測。

攻擊特征總結

此次攻擊活動代表了迄今為止觀察到的最復雜的朝鮮關聯macOS威脅，具備完整攻擊套件：

• Nim與C++混合負載
• WSS加密C2通信
• 信號驅動持久化機制
• AppleScript后門
• 瀏覽器/鑰匙串/Telegram數據竊取
• 反調試與虛擬機逃逸技術

SentinelLABS警告稱："我們根據其功能特性和開發特征，將該惡意軟件家族統稱為NimDoor。這并非一次性攻擊，而是經過演練的模塊化攻擊手冊，很可能在未來針對Web3、加密貨幣等領域macOS用戶的攻擊中重復使用。"