Beveiligingsonderzoekers van SentinelLabs hebben een alarmerend rapport gepubliceerd over een nieuwe, sluwe aanval om crypto’s te stelen via Apple-apparaten.
De Noord-Koreaanse hackersgroep achter deze campagne gebruikt een geavanceerde malware genaamd NimDoor, die macOS-beveiliging omzeilt en crypto-wallets en gevoelige gegevens steelt.
NimDoor: Een onzichtbare bedreiging
Volgens SentinelLabs, dat de aanval op 2 juli 2025 publiceerde, is NimDoor een backdoortool ontwikkeld in de zeldzame programmeertaal Nim. Deze keuze maakt de malware moeilijk te detecteren, omdat Nim-code runtime- en malware-logica vermengt, wat reverse engineering bemoeilijkt.
De aanval, voor het eerst gespot in april 2025 bij een crypto-startup, richt zich specifiek op Web3- en cryptobedrijven en steelt wachtwoorden, Telegram-gegevens en crypto-wallet-inloggegevens.
NimDoor’s kracht ligt in zijn signal-based persistence. Het installeert handlers voor SIGINT en SIGTERM-signalen, die normaal processen stoppen. Als een gebruiker probeert de malware te sluiten, herinstalleert NimDoor zichzelf via een component genaamd GoogIe LLC (met een misleidende hoofdletter ‘I’) en blijft actief.
Het gebruikt ook AppleScript om elke 30 seconden contact te maken met de hackerservers, zonder traditionele detecteerbare frameworks.
Hoe de aanval begint: Telegram en neppe Zoom-updates
De aanval begint met klassieke social engineering. Hackers, gelinkt aan de Noord-Koreaanse BlueNoroff-groep, doen zich op Telegram voor als vertrouwde contacten en nodigen slachtoffers uit voor een nepvergadering via Calendly.
Tijdens het plannen wordt gevraagd een “Zoom SDK-update” te downloaden. Dit is geen update, maar een kwaadaardig Mach-O-bestand dat NimDoor installeert. Eenmaal actief verzamelt het:
- Browsergegevens: Wachtwoorden en cookies.
- Telegram-data: Chatgeschiedenis en versleutelde sleutels.
- Crypto-wallets: Inloggegevens en private keys.
De malware gebruikt scripts zoals zoom_sdk_support.scpt (met 10.000 blanco regels voor verhulling) en upl om data te exfiltreren naar domeinen zoals dataupload[.]store. Een tweede injectieketen, trojan1_arm64, communiceert via WebSocket met de hackerservers.
Deel van een grotere Noord-Koreaanse campagne
Deze aanval past in een bredere golf van Noord-Koreaanse cybercriminaliteit. Volgens TRM Labs stal de Lazarus-groep en aanverwante hackers in de eerste helft van 2025 $1,6 miljard van Web3-bedrijven, met een megahack van $1,5 miljard bij Bybit in februari als uitschieter.
Vorige week meldde Interchain Labs dat een Noord-Koreaanse ontwikkelaar onbewust werd ingehuurd voor een blockchainproject, terwijl het Amerikaanse ministerie van Justitie $7,74 miljoen aan gestolen crypto in beslag nam van nep-IT’ers die sancties omzeilen.
Noord-Koreanen gebruiken steeds ongebruikelijkere programmeertalen zoals Nim, Go en Rust om detectie te ontwijken, een trend die SentinelLabs verwacht te zien groeien.
Waarschuwing en beschermingstips
SentinelLabs slaat alarm voor cryptobedrijven en adviseert:
- Blokkeer onondertekende bestanden: Download alleen Zoom-updates van officiële bronnen zoals zoom.us.
- Controleer Telegram-contacten: Wees alert op verdachte profielen of ongevraagde bestanden.
- Gebruik endpoint-beveiliging: Tools zoals SentinelOne kunnen NimDoor detecteren via indicators of compromise (IOC’s) zoals domeinen en bestandsnamen.
- Multi-factor authenticatie (MFA): Bescherm wallets met MFA en hardware-sleutels.
Voor individuele beleggers: gebruik hardware-wallets en vermijd het klikken op links van onbekende Telegram-contacten. Bedrijven moeten hun personeel trainen in social engineering-tactieken.
De NimDoor-aanval onderstreept de groeiende dreiging voor crypto-gebruikers, vooral op macOS, dat vaak als “veilig” wordt gezien. Versterk dus je beveiliging en blijf alert op vreemde meldingen.
Het bericht Noord-Koreaanse richten zich op Apple producten: Nieuwe malware steelt crypto via macOS verscheen eerst op CryptoBenelux.