Le spécialiste du malware et de la threat intelligence, SentinelLabs, a révélé un nouveau logiciel malveillant, baptisé NimDoor, attribué à la Corée du Nord. Il cible spécifiquement les entreprises Web3 et crypto sur macOS.

SentinelLabs dévoile un nouveau malware nord-coréen qui cible le secteur crypto. © Skorzewiak / Shutterstock
SentinelLabs dévoile un nouveau malware nord-coréen qui cible le secteur crypto. © Skorzewiak / Shutterstock

Le secteur des cryptomonnaies doit affronter une nouvelle menace cyber de grande ampleur. Les chercheurs de SentinelLabs ont annoncé, lundi, avoir découvert NimDoor, un malware développé par des groupes APT nord-coréens qui s'attaque aux entreprises Web3 qui utilisent macOS. Les pirates se distinguent ici par l'utilisation du langage de programmation Nim, rarement exploité dans les cyberattaques traditionnelles.

Les cybercriminels exploitent la confiance du milieu blockchain pour piéger leurs cibles sur Zoom

L'attaque menée par des hackers exploite les habitudes du milieu crypto. Les cybercriminels contactent leurs cibles depuis la messagerie Telegram, une référence dans l'écosystème blockchain, pour proposer des « opportunités d'affaires ». Cette approche psychologique fonctionne, car elle est ancrée dans le quotidien des entrepreneurs Web3, habitués aux partenariats internationaux spontanés en tant qu'utilisateurs des cryptomonnaies, NFT ou blockchain.

Le piège se referme avec un faux rendez-vous sur Zoom, accompagné d'un prétendu script de mise à jour. Le fichier « zoom_sdk_support.scpt » dissimule son code malveillant derrière 10 000 lignes vides, technique d'obfuscation basique peut-être, mais efficace. Une fois lancé, il contacte des serveurs aux noms trompeurs comme « support.us05web-zoom[.]forum », en imitant l'infrastructure officielle de Zoom.

Le fichier "zoom_sdk_support.scpt" est complété par 10 000 lignes d'espaces. On remarque la barre de défilement sur la droite de la capture d'écran, et la faute de frappe « Zook ». © Sentinel Labs
Le fichier "zoom_sdk_support.scpt" est complété par 10 000 lignes d'espaces. On remarque la barre de défilement sur la droite de la capture d'écran, et la faute de frappe « Zook ». © Sentinel Labs

La méthode montre la compréhension fine qu'ont les pirates des usages professionnels. En ciblant un outil de visioconférence omniprésent, les attaquants multiplient leurs chances de succès, tout en exploitant la confiance accordée aux mises à jour logicielles soi-disant officielles.

Nim : le langage qui déjoue les antivirus traditionnels

Sur un plan plus technique, le choix du langage Nim est un coup de maître tactique. Contrairement aux langages habituels (C++, Python), Nim reste méconnu des solutions antivirus classiques, qui s'appuient sur des signatures de code connues. C'est une lacune, et elle offre une fenêtre d'invisibilité précieuse aux cybercriminels, qui explique pourquoi NimDoor échappe longtemps à la détection.

L'architecture modulaire de NimDoor étonne par sa sophistication. Trois composants principaux se coordonnent : installer prépare l'infection, GoogIe LLC (notez le 'i' majuscule trompeur) gère la configuration, et CoreKitAgent assure la persistance. La division des tâches complique l'analyse forensique, puisque chaque module peut sembler bénin isolément.

Le principal tour de force des cybercriminels réside dans l'injection de processus, rarissime sur macOS. Le malware parasite un processus légitime nommé « Target » pour dissimuler ses activités. En parallèle, les communications via protocole WSS (WebSocket sécurisé) imitent parfaitement le trafic web normal, rendant la détection réseau quasi impossible.

Un braconnage de données ultra-ciblé et tenace

Le vol de données de NimDoor vise l'écosystème crypto. Outre les navigateurs classiques (Chrome, Firefox, Safari, Arc, Brave), le malware s'attaque surtout à Telegram, outil incontournable des traders et entrepreneurs blockchain. En récupérant les bases de données chiffrées et leurs clés de déchiffrement, les hackers accèdent potentiellement aux contacts professionnels et aux discussions stratégiques.

Le trousseau macOS, coffre-fort numérique d'Apple, ne résiste pas à l'assaut. NimDoor exfiltre les mots de passe stockés, historiques de navigation et données d'authentification via des scripts Bash optimisés. Ces informations, compressées puis chiffrées, transitent discrètement vers les serveurs « dataupload[.]store » contrôlés par les pirates.

La persistance de NimDoor défie toutes les tentatives de suppression. En détournant les signaux système SIGINT et SIGTERM (normalement utilisés pour arrêter proprement un programme), le malware transforme chaque tentative d'interruption en opportunité de réinstallation. Concrètement, presser Ctrl+C ou redémarrer l'ordinateur déclenche ici la restauration automatique des composants malveillants, garantissant une survie remarquable.