Uma sofisticada campanha de malware para MacOS, batizada de NimDoor, está mirando organizações de Web3 e criptomoedas ao explorar falsas atualizações do Zoom SDK. A operação, atribuída a agentes ligados à Coreia do Norte, possivelmente o grupo Stardust Chollima, vem sendo observada desde abril de 2025 e representa um avanço nas capacidades ofensivas contra sistemas Apple. A campanha começa com engenharia social elaborada: invasores se passam por contatos confiáveis no Telegram e convidam as vítimas a agendar reuniões via Calendly.
Em seguida, enviam e-mails maliciosos com AppleScript disfarçados de atualizações legítimas do Zoom SDK. Um detalhe curioso nos scripts, a palavra “Zoom” escrita como “Zook” serve como marcador de identificação. Especialistas de cibersegurança destacam o uso do idioma de programação Nim, raro em malwares para MacOS. A escolha estratégica dificulta a análise estática, pois o código do desenvolvedor se mistura com o código de execução em tempo de compilação, criando uma camada de ofuscação que complica as detecções tradicionais.
Ao ser executado, NimDoor realiza uma infecção em múltiplas etapas com dois binários Mach-O: um em C++ para descriptografar payloads e roubar dados, e outro em Nim que instala mecanismos de persistência. Componentes com nomes propositalmente alterados como “GoogIe LLC” e “CoreKitAgent” ajudam a evitar suspeitas. O malware também inova ao usar manipuladores de sinais SIGINT/SIGTERM para reinstalação automática caso seja encerrado ou após reinicializações, prolongando sua atividade no sistema. A comunicação com os servidores de comando e controle ocorre via WebSocket com TLS, transmitindo beacons a cada 30 segundos. Entre os dados exfiltrados estão credenciais do Keychain, dados de navegadores (Chrome, Firefox, Brave, Arc, Edge) e bancos de dados do Telegram com informações de carteiras de criptomoedas e mensagens sensíveis.
