A empresa de análise Sentinel Labs publicou na quarta-feira (2) um alerta de uma nova ameaça cibernética de hackers da Coreia do Norte contra empresas de criptomoedas. Conforme o relatório, os cibercriminosos estão utilizando um malware para macOS chamado NimDoor para roubar dados e senhas de carteiras de criptomoedas em dispositivos da Apple.
De acordo com a empresa, os hackers enviam mensagens aos alvos pelo Telegram e então organizam uma reunião maliciosa pelo Calendly, um serviço de agendamento de reuniões. Ele então induz as vítimas a baixar uma atualização falsa do Zoom, carregada com malware que funciona sem acionar as verificações de segurança da Apple.
O vírus se destaca por ter sido escrito em Nim, uma linguagem de programação de nicho raramente usada em malwares. A Sentinel afirmou que as assinaturas de proteção integradas da Apple ainda não sinalizam o NimDoor, dando ao backdoor acesso livre a máquinas com macOS.
Uma vez instalado, o vírus coleta senhas de navegadores, bancos de dados do Telegram e arquivos de carteiras de criptomoedas e, em seguida, abre um agente de itens de login que recarrega o malware e extrai payloads subsequentes.
Para resolver o problema, a empresa pediu que as empresas de criptomoedas bloqueiem pacotes de instalação não assinados, verifiquem as atualizações do Zoom apenas no zoom.us e auditem as listas de contatos do Telegram em busca de novos perfis que enviam arquivos executáveis.
Hackers norte-coreanos e criptomoedas
O alerta da Sentinel Labs se soma a um crescente modus operandi da República da Coreia do Norte. Na semana passada, a Interchain Labs revelou que os mantenedores do projeto cripto Cosmos contrataram, sem saber, um desenvolvedor norte-coreano, e promotores americanos acusaram cidadãos do país asiático de lavar mais de US$ 900 mil em criptomoedas roubadas via Tornado Cash.
O Departamento de Justiça dos EUA afirma que agentes se passaram por cidadãos americanos em vários esquemas para roubar dados de empresas americanas.
A TRM Labs estima que grupos ligados à Coreia do Norte desviaram US$ 1,6 bilhão de operadores web3 no primeiro semestre de 2025, liderados pelo hack de cerca de US$ 1,5 bilhão da Bybit em fevereiro. Isso representa mais de 70% de todas as perdas com criptomoedas no primeiro semestre.