北韓駭客正利用針對 Mac 電腦的惡意軟體攻擊加密貨幣公司

北韓駭客正在利用針對 Apple 裝置的新型惡意軟體，鎖定加密貨幣公司進行網路攻擊。

根據網路安全公司 Sentinel Labs 週三發布的 報告 ，攻擊者會在 Telegram 等通訊軟體冒充可信人士，然後透過視訊軟體 Google Meet 連結發出假的 Zoom 會議邀請，再傳送一個看似 Zoom 更新檔的檔案給受害者。一旦這個「更新檔」被執行，其中的惡意程式就會在 Mac 電腦上安裝一種名為「NimDoor」的惡意軟體，接著該軟體會針對加密貨幣錢包與瀏覽器密碼進行竊取。

雖然這種攻擊手法相對常見，但該惡意軟體是使用一種罕見的程式語言 Nim 編寫，這使得資安軟體更難偵測到它。研究人員表示：

「儘管這種攻擊的初步階段遵循北韓慣用的手法，利用社交工程、誘餌腳本和假更新檔，但在 macOS 系統上使用 Nim 編譯的執行檔是一項較為罕見的選擇。」

Nim 是一種相對新穎且不常見的程式語言，近來受到網路犯罪分子的歡迎，因為它可以在 Windows、Mac 和 Linux 上無需修改就能執行，這代表駭客只需撰寫一個惡意程式，就能在各平台運作。Nim 同時具備編譯速度快、能產生獨立可執行檔，以及難以被偵測等特性。

Mac 也會中毒

資安解決方案提供商 Huntress 曾在 6 月 指出 ，類似的惡意軟體入侵與北韓支持的駭客組織「BlueNoroff」 有關。研究人員表示，這款惡意軟體引人注意的地方在於它能夠繞過 Apple 的記憶體防護機制，將惡意載荷成功注入系統中。

該惡意軟體被用於鍵盤側錄、螢幕錄影、剪貼簿擷取，並搭載一個名為 CryptoBot 的「全功能資訊竊取工具」，專門鎖定加密貨幣進行竊取。該資訊竊取程式會滲透瀏覽器的擴充應用程式，尋找加密錢包程式來竊取相關資料。

區塊鏈安全公司慢霧（SlowMist）也在社群平台上 警告說 ，目前有一場大規模的惡意行動正在進行中，涉及數十個偽造的 Firefox 擴充功能，這些程式被設計用來竊取加密貨幣錢包憑證。

Sentinel Labs 的研究人員總結指出，過去幾年來，macOS 已逐漸成為駭客的主要目標，尤其是那些技術高度成熟、由國家支持的駭客組織，破除了「Mac 不會中毒」的迷思。

資料來源