7月3日,网络安全公司Sentinel Labs披露,朝鲜关联黑客组织正通过Telegram等平台实施供应链攻击,向加密货币从业者发送伪装成Zoom更新的恶意安装包,实际部署名为NimDoor的远程访问木马。该恶意软件采用罕见的Nim编程语言开发,具备绕过苹果系统内存保护机制的能力,专门窃取加密货币钱包数据及浏览器密码。
技术分析显示,NimDoor内置延迟10分钟激活机制以规避静态检测,并包含可提取Telegram本地加密数据库及对应解密密钥的模块。由于Nim语言支持跨平台编译且检出率低,该特性正被多个APT组织用于构建隐蔽载荷。当前攻击主要针对持有热钱包的机构用户及高频交易者,可能引发加密货币市场对安全风险的担忧。
