Des chercheurs en cybersécurité ont découvert une campagne sophistiquée menée par des hackers nord-coréens ciblant des entreprises du Web3 et des cryptomonnaies sur macOS. Surnommée « NimDoor », cette opération combine ingénierie sociale, scripts AppleScript piégés et binaires écrits en langage Nim – rare sur Mac – afin d’échapper aux systèmes de détection classiques. L’attaque commence souvent par une invitation à un faux appel Zoom via Telegram et Calendly, invitation accompagnée de scripts malveillants déguisés en mises à jour du SDK Zoom. Une fois exécutés, ces scripts téléchargent d’autres « charges utiles » permettant un accès persistant au système et donc le vol de données sensibles.

Le malware utilise des techniques inhabituelles sur macOS, comme l’injection de processus avec des droits spéciaux et des communications chiffrées via WebSockets TLS. Ce dernier  vole aussi l’historique de navigation, les identifiants du trousseau iCloud et les données Telegram – même chiffrées – grâce à des scripts Bash. La persistance est assurée par des LaunchAgents masqués et des noms de fichiers trompeurs, comme “GoogIe LLC”. Les mesures de sécurité permettant de se prévenir ce méchant malware restent tout à fait classiques et incluent l’utilisation d’antivirus performants, l’inspection régulière des agents de lancement, la prudence face aux liens suspects, et la mise à jour fréquente des logiciels et de macOS.