2 Temmuz 2025’te yayınlanan Sentinellabs’tan yeni bir rapor, Web3’ü ve kripto para şirketlerini hedefleyen sofistike bir siber saldırı kampanyası ortaya koyuyor. Kuzey Kore ile hizalanan tehdit aktörleri, MacOS sistemlerini Nimdoor adlı yeni keşfedilen bir kötü amaçlı yazılımla agresif bir şekilde sömürüyor ve tespit edilmemek için karmaşık, çok aşamalı saldırılar ve şifreli iletişimler kullanıyor.
Phil Stokes ve Raffaele Sabato tarafından yazılan ve hackread.com ile paylaşılan araştırma, saldırganların NIM gibi daha az yaygın, platformlar arası programlama dillerine geçişini vurgulamaktadır. Bu değişiklik, kötü niyetli faaliyetlerini tespit etme ve analiz etme çabalarını karmaşıklaştırmaktadır.
Grup ayrıca sadece ilk ihlal için değil, aynı zamanda basit, lekesi zor arka kapılar için de akıllıca kullanıyor. Yöntemleri, şifreli WebSocket (WSS) iletişimini kullanma ve kötü amaçlı yazılımın kapatıldıktan sonra bile erişimi sürdürmenin olağandışı yolları da dahil olmak üzere gizli ve kalıcı kalmada açık bir gelişme göstermektedir.
Saldırılar nasıl çalışıyor
Saldırılar tanıdık bir sosyal mühendislik hilesi ile başlar: bilgisayar korsanları, telgraf gibi platformlarda güvenilir kişiler gibi davranıyor ve hedefleri sahte zoom toplantılarına davet ediyor. Meşru görünmek için tasarlanmış kötü amaçlı Zoom SDK güncelleme komut dosyası ile e -posta gönderiyorlar, ancak aslında binlerce satır gizli kod ile gizleniyor. Bu komut dosyası daha sonra, kullanıcıları kandırmak için gerçek zoom alanlarına benzer isimler kullanan saldırgan kontrollü web sitelerinden daha zararlı programlar indirir.
İçeri girdikten sonra, enfeksiyon süreci çok katmanlı hale gelir. Bilgisayar korsanları, macOS kötü amaçlı yazılım için nadir bir teknik olan kötü amaçlı kodları meşru süreçlere enjekte eden bir C ++ programı da dahil olmak üzere çeşitli araçlar kullanır. Bu, tarayıcı bilgileri, anahtarlık şifreleri, kabuk geçmişi ve telgraf sohbet geçmişleri gibi hassas verileri çalmalarını sağlar.
Sentinellabs’ın blog yayınına göre, uzun vadeli erişimi ayarlayan NIM derlemeli ‘Nimdoor’ kötü amaçlı yazılımını da yüklüyorlar. Bu, kötü amaçlı yazılımın karışmasına yardımcı olan “googie LLC” adlı bir bileşeni (küçük harfli bir ‘l’ yerine aldatıcı sermaye ‘i’) içerir. İlginç bir şekilde, kötü amaçlı yazılım, ana bileşenlerini tetikleyen ve bir kullanıcının onu kapatmaya çalışması durumunda devam eden erişim sağlayan benzersiz bir özellik içerir.
Başka bir gün, başka bir Kuzey Kore kampanyası
Sentinellabs’ın analizi, bu Kuzey Koreli hizalanmış aktörlerin sürekli olarak güvenliği atlamak için yeni yollar geliştirdiğini göstermektedir. Karmaşık davranışları derlenmiş programlara yerleştirmelerine izin veren bir dil olan NIM kullanımı, güvenlik uzmanlarının kötü amaçlı yazılımların nasıl çalıştığını anlamalarını zorlaştırıyor. Ek olarak, sunucularıyla düzenli olarak kontrol etmek gibi basit görevler için Applescript kullanmak, daha geleneksel, kolayca tespit edilebilir hack araçlarını kullanmaktan kaçınmalarına yardımcı olur.
Rapor, bu tehditler değişmeye devam ettikçe şirketlerin savunmalarını güçlendirmesinin ne kadar önemli olduğunu gösteriyor. Bilgisayar korsanları yeni programlama dillerini ve daha gelişmiş taktikleri denerken, siber güvenlik araştırmacıları bu saldırıları nasıl algıladıklarını ve durdurduklarını güncellemeleri gerekiyor. Sentinellabs, herkesin hazır olması gereken “kaçınılmaz saldırılar” diyerek özetliyor.