Achtung! Nordkoreanische Hacker zielen auf Mac-Nutzer auf sehr kreative Weise

04. Juli 2025, 01:36 Uhr · Quelle: cryptoBro

Nordkoreanische Hacker nutzen die Programmiersprache Nim, um gezielte Angriffe auf macOS-Geräte kleiner Web3-Unternehmen durchzuführen, indem sie sich als vertrauenswürdige Kontakte ausgeben. Außerdem deckte ein Ermittler signifikante Zahlungen an nordkoreanische IT-Arbeiter auf, die das Risiko für betroffene Projekte erhöhen.

SentinelLabs, der Forschungs- und Bedrohungsaufklärungsbereich der Cybersicherheitsfirma SentinelOne, hat eine neue und ausgeklügelte Angriffskampagne namens NimDoor untersucht, die sich gegen macOS-Geräte von nordkoreanischen Akteuren richtet.

Das ausgeklügelte Schema beinhaltet die Verwendung der Programmiersprache Nim, um mehrere Angriffsstränge auf Geräten zu injizieren, die in kleinen Web3-Unternehmen verwendet werden, was ein neuer Trend ist.

Selbsternannter Ermittler ZachXBT hat auch eine Kette von Zahlungen an koreanische IT-Arbeiter aufgedeckt, die Teil dieser genialen Gruppe von Hackern sein könnten.

Wie der Angriff ausgeführt wird

Der detaillierte Bericht von SentinelLabs beschreibt einen neuartigen und verschleierten Ansatz, um in Mac-Geräte einzudringen.

Es beginnt auf eine nunmehr vertraute Weise: durch das Imitieren eines vertrauenswürdigen Kontakts, um ein Treffen über Calendly zu planen, wobei das Ziel dann eine E-Mail erhält, um die Zoom-Anwendung zu aktualisieren.

Das Aktualisierungsskript endet mit drei Zeilen bösartigem Code, die ein zweites Stufenskript von einem kontrollierten Server zu einem legitimen Zoom-Meeting-Link abrufen und ausführen.

Das Anklicken des Links lädt automatisch zwei Mac-Binärdateien herunter, die zwei unabhängige Ausführungsstränge initiieren: Der erste sammelt allgemeine Systeminformationen und anwendungsspezifische Daten. Der zweite sorgt dafür, dass der Angreifer langfristigen Zugang zu dem betroffenen Gerät hat.

Die Angriffskette geht dann weiter, indem zwei Bash-Skripte über einen Trojaner installiert werden. Eines wird verwendet, um Daten aus bestimmten Browsern zu stehlen: Arc, Brave, Firefox, Chrome und Edge. Das andere stiehlt Telegram's verschlüsselte Daten und den zur Entschlüsselung verwendeten Blob. Die Daten werden dann auf den kontrollierten Server extrahiert.

Was diesen Ansatz einzigartig und für Sicherheitsanalysten schwierig macht, ist die Verwendung mehrerer Malware-Komponenten und verschiedener Techniken, die zum Injizieren und Täuschen von Malware eingesetzt werden, was die Erkennung sehr schwierig macht.

Ähnliche Angriffe wurden im April von Huntabil.IT und im Juni von Huntress entdeckt.

Follow The Money

ZachXBT, der pseudonyme Blockchain-Ermittler, hat kürzlich auf X über seine neuesten Erkenntnisse zu erheblichen Zahlungen an verschiedene Entwickler in der Demokratischen Volksrepublik Korea (DVRK) gepostet, die seit Jahresbeginn an verschiedenen Projekten arbeiten.

Er hat es geschafft, acht separate Arbeiter zu identifizieren, die für 12 verschiedene Unternehmen arbeiten.

Seine Ergebnisse zeigen, dass monatlich $2,76 Millionen in USDC von Circle-Konten an Adressen gesendet wurden, die mit den Entwicklern verbunden sind. Diese Adressen befinden sich sehr nahe an einer, die 2023 von Tether auf die schwarze Liste gesetzt wurde, da sie mit dem mutmaßlichen Verschwörer Sim Hyon Sop verbunden ist.

Zach überwacht weiterhin ähnliche Adressgruppen, hat jedoch noch keine Informationen veröffentlicht, da sie noch aktiv sind.

Er hat eine Warnung ausgegeben, dass sobald diese Arbeiter die Kontrolle über Verträge übernehmen, das zugrunde liegende Projekt einem hohen Risiko ausgesetzt ist.

“I believe that when a team hires multiple DPRK ITWs (IT workers), it is a decent indicator for determining that the startup will be a failure. Unlike other threats to the industry, these workers have little sophistication, so it’s mainly the result of a team’s own negligence.”

Finanzen / Crypto / Cybersicherheit / Nordkorea / Malware
04.07.2025 · 01:36 Uhr
[0 Kommentare]