Des pirates nord-coréens diffusent le malware NimDoor pour macOS via de fausses mises à jour Zoom

Un nouveau rapport de SentinelLabs, publié le 2 juillet 2025, révèle une campagne de cyberattaque sophistiquée ciblant des entreprises du Web3 et des cryptomonnaies . Des acteurs malveillants alliés à la Corée du Nord exploitent agressivement les systèmes macOS avec un nouveau malware appelé NimDoor, utilisant des attaques complexes en plusieurs étapes et des communications chiffrées pour rester indétectables.

L'étude, rédigée par Phil Stokes et Raffaele Sabato et partagée avec Hackread.com, met en évidence l'évolution des attaquants vers des langages de programmation multiplateformes moins courants comme Nim. Ce changement complique la détection et l'analyse de leurs activités malveillantes.

Le groupe utilise également AppleScript de manière astucieuse, non seulement pour la brèche initiale, mais aussi comme portes dérobées simples et difficiles à repérer. Leurs méthodes démontrent une nette amélioration en termes de dissimulation et de persistance, notamment grâce à l'utilisation de communications WebSocket (wss) chiffrées et à des méthodes inhabituelles pour maintenir l'accès même après la prétendue désactivation du logiciel malveillant.

Les attaques commencent par une astuce d'ingénierie sociale bien connue : les pirates se font passer pour des contacts de confiance sur des plateformes comme Telegram et invitent leurs cibles à de fausses réunions Zoom . Ils envoient des e-mails contenant un script malveillant de mise à jour du SDK Zoom, conçu pour paraître légitime, mais qui est en réalité dissimulé par des milliers de lignes de code. Ce script télécharge ensuite d'autres programmes malveillants depuis des sites web contrôlés par les attaquants, qui utilisent souvent des noms similaires à de véritables domaines Zoom pour tromper les utilisateurs.

Une fois à l'intérieur, le processus d'infection devient multicouche. Les pirates déploient plusieurs outils, dont un programme C++ qui injecte du code malveillant dans des processus légitimes, une technique rare pour les logiciels malveillants sous macOS. Cela leur permet de voler des données sensibles comme les informations du navigateur, les mots de passe du trousseau, l'historique du shell et l'historique des conversations Telegram.

Selon un article de blog de SentinelLabs, ils installent également le malware « NimDoor », compilé par Nim, qui permet un accès à long terme. Ce malware inclut un composant nommé « GoogIe LLC » (notez le « i » majuscule trompeur au lieu d'un « L » minuscule), qui permet au malware de se dissimuler. Il est intéressant de noter que le malware inclut une fonctionnalité unique qui déclenche ses principaux composants et garantit un accès continu si un utilisateur tente de le fermer ou si le système redémarre.

L'analyse de SentinelLabs montre que ces acteurs pro-coréens développent constamment de nouvelles méthodes pour contourner les mesures de sécurité. Leur utilisation de Nim, un langage leur permettant d'intégrer des comportements complexes dans des programmes compilés, complique la compréhension du fonctionnement du malware par les experts en sécurité. De plus, l'utilisation d'AppleScript pour des tâches simples, comme la vérification régulière de leurs serveurs, leur évite d'avoir recours à des outils de piratage plus traditionnels et facilement détectables.

Le rapport souligne ensuite l'importance pour les entreprises de renforcer leurs défenses face à l'évolution constante de ces menaces. Alors que les pirates informatiques testent de nouveaux langages de programmation et des tactiques plus avancées, les chercheurs en cybersécurité doivent adapter leur méthode de détection et de blocage de ces attaques. SentinelLabs les qualifie d'« attaques inévitables » auxquelles chacun doit se préparer.