据网络安全公司SentinelOne的报告,一款名为NimDoor的macOS恶意软件正在被朝鲜支持的黑客团体用于攻击web3和加密货币组织。研究人员发现,这种恶意软件利用了罕见的技术和从未见过的信号机制来保持其持久性。
攻击者通过Telegram联系受害者,并诱导他们运行一个假冒的Zoom SDK更新,这一攻击链与Huntress管理安全平台近期关联的BlueNoroff攻击相似。
NimDoor的核心组件之一是CoreKitAgent,它作为事件驱动的二进制文件运行,使用macOS的kqueue机制来异步管理执行。当尝试终止该进程时,CoreKitAgent会触发重新安装程序,重新部署其组件,确保持久性链条的恢复。这一特性使得NimDoor能够抵御基本的防御行动。