朝鲜黑客利用虚假 Zoom 更新传播针对加密货币公司的“NimDoor”macOS 恶意软件

据《The Block》报道：SentinelLabs 警告称朝鲜黑客利用伪装成 Zoom 更新的 NimDoor 后门病毒攻击 macOS 系统，窃取加密钱包数据与密码

安全公司 SentinelLabs 在一份最新研究报告中警告称，一个朝鲜网络攻击组织正在使用一种名为 NimDoor 的新型 macOS 后门病毒，感染苹果设备，从而入侵加密货币公司并窃取钱包凭证与浏览器密码。

该病毒隐藏在伪造的 Zoom 更新程序 中，传播手法主要通过 Telegram 社交平台展开，攻击者采用了熟悉的 社交工程策略：先通过 Telegram 接触目标用户，随后在 Calendly 上安排“会议”，诱使受害者下载伪装成 Zoom 更新的恶意安装包。该软件通过“旁加载”（sideloading）方式绕过 Apple 的安全检测机制，成功在设备中运行。

NimDoor 的特殊之处 在于它是使用一种极少在恶意软件中使用的小众编程语言 Nim 编写的，这也让它避开了苹果当前的病毒库识别。一旦安装，该后门将会：

收集浏览器保存的密码；

窃取 Telegram 本地数据库；

提取加密钱包文件；

并创建登录启动项，实现持久化运行及下载后续攻击模块。

SentinelLabs 建议：

加密公司应禁止所有 未签名的安装包；

仅从 zoom.us 官网下载 Zoom 更新；

审查 Telegram 联系人列表，警惕主动发送可执行文件的陌生账号。

这次攻击是朝鲜持续针对 Web3 行业攻击行动的一部分。此前，Interchain Labs 曾透露，Cosmos 项目团队一度 无意中雇佣了朝鲜开发者。同时，美国司法部也指控数名朝鲜籍嫌疑人，指其通过 Tornado Cash 清洗超过 90 万美元的被盗加密货币，这些人假冒美国公民身份，策划多项网络攻击。

根据区块链安全公司 TRM Labs 的最新估算，2025 年上半年，与朝鲜有关联的黑客组织共窃取了超过 16 亿美元的加密资产。其中，仅今年 2 月份的 Bybit 攻击事件就造成 15 亿美元损失，占据上半年 Web3 所有加密损失的 70% 以上。