网络安全公司 SentinelLabs 近日发现,一朝鲜黑客组织正通过结合 AppleScript、Bash、C++ 和 Nim 技术链,伪装成 Zoom 会议邀请链接对苹果 Mac 用户发起攻击,窃取敏感信息。该攻击被命名为 NimDoor,其复杂程度远超传统 macOS 威胁。
攻击者利用 Nim 编译的恶意文件和多阶段攻击链,针对 Web3 及加密货币相关企业。其手段包括进程注入、WebSocket 加密通信(wss),以及通过信号处理器实现持久化机制,确保恶意程序在系统重启后仍可运行。
AppleScript 被广泛用于初始入侵和后续控制,Bash 则负责窃取 Keychain 密码、浏览器数据及 Telegram 信息。研究指出,Nim 的使用标志着 macOS 恶意软件正转向更隐蔽的跨平台语言。