朝鲜黑客组织正利用一种罕见且高度先进的朝鲜恶意软件家族"NimDoor"
，针对Web3和加密货币初创企业的组织使macOS系统发起新一轮网络攻击。SentinelLABS详细分析显示 ，用N语言隐秘该攻击活动融合了社会工程学、恶意新型持久化策略以及Nim编程语言的软件非常规使用，标志着朝鲜网络间谍与金融窃取手段的发起显著升级。

攻击链分析

攻击始于典型的加击朝鲜式社会工程手段：攻击者通过Telegram冒充可信联系人，诱骗受害者通过Calendly加入虚假Zoom会议。高防服务器密货目标用户会收到要求运行"Zoom SDK更新脚本"的币攻消息，该脚本托管在伪装成Zoom支持页面的朝鲜攻击者控制域名上
。

SentinelLABS指出："在公开恶意软件库中可以找到该脚本的组织使变体，其明显特征是用N语言隐秘存在Zook SDK Update而非Zoom SDK Update的拼写错误 。"

该AppleScript文件包含10,恶意000行空白字符
，最后三行代码会从support.us05web-zoom[.]forum等域名静默下载并执行恶意负载。软件执行后会释放两个二进制文件至/private/var/tmp目录：

a- 采用C++编写的源码下载发起二进制文件 ，负责初始系统指纹识别并将shellcode注入良性进程installer- Nim编译的通用二进制文件，用于建立持久化机制并投放后续负载（GoogIe LLC和CoreKitAgent）技术突破点

值得注意的是 ，macOS平台上使用Nim语言编译的恶意软件极为罕见
。SentinelLABS强调："攻击者广泛部署AppleScript...并使用包含加密配置处理
、异步执行以及信号驱动持久化机制的Nim编译二进制文件，这些技术在macOS恶意软件中前所未见。香港云服务器"

该恶意软件采用独特的macOS持久化技术——仅在进程终止时激活 。CoreKitAgent二进制文件为SIGINT和SIGTERM（进程终止信号）设置处理程序 ，在收到终止信号时立即部署持久化组件
。这种设计实现了防御规避 ，当安全团队尝试终止可疑进程时，反而会触发核心组件的部署 。

通信与数据窃取

核心后门通过WSS（WebSocket Secure）协议与firstfromsep[.]online等C2服务器通信 
，采用RC4加密和多层base64编码。每个受害者拥有唯一的Build ID ，建站模板命令通过包含加密cmd和data字段的JSON对象下发
。支持的命令包括
：

execCmd- 执行任意shell命令getSysInfo- 提取系统信息getCwd/setCwd- 文件系统操作

两个Bash脚本（upl和tlgrm）负责数据窃取：

upl窃取Chrome、Firefox、Edge、Brave和Arc等浏览器的数据 ，以及钥匙串文件和shell历史记录tlgrm窃取Telegram加密的本地数据库和密钥块用于潜在解密

所有数据均上传至共享端点 ：https[:]//dataupload[.]store/uploadfiles 。嵌入的AppleScript作为轻量级后门，服务器租用每30秒向writeup[.]live等C2服务器发送心跳信号
，并在收到响应时执行命令。该脚本使用长十六进制字符串和随机字符列表进行混淆以规避检测。

攻击特征总结

此次攻击活动代表了迄今为止观察到的最复杂的朝鲜关联macOS威胁 ，具备完整攻击套件 ：

Nim与C++混合负载WSS加密C2通信信号驱动持久化机制AppleScript后门浏览器/钥匙串/Telegram数据窃取反调试与虚拟机逃逸技术

SentinelLABS警告称 ："我们根据其功能特性和开发特征，将该恶意软件家族统称为NimDoor 。这并非一次性攻击 ，而是经过演练的模块化攻击手册 ，免费模板很可能在未来针对Web3、加密货币等领域macOS用户的攻击中重复使用
 。"