此篇文章探討了一項針對Web3和加密貨幣組織的大規模駭客攻擊行動,該攻擊行動的特點在於使用了少見的程式語言Nim來開發針對macOS的後門程式「NimDoor」。這起攻擊由北韓駭客發起,目的是利用先進的攻擊技巧繞過偵測,並成功侵入多個目標系統,造成資安業者SentinelOne的關注和進一步調查。這場攻擊主要針對macOS用戶,駭客使用了AppleScript、C++和Nim語言開發的惡意程式碼,這些程式碼不僅對應用程式進行注入,還能透過TLS加密的WebSocket協議(wss)進行遠端通信。駭客的手法包括使用特定的訊號(如SIGINT和SIGTERM)來確保在惡意軟體停止運作或系統重啟後,仍然能在目標電腦上持續活動。
駭客通常會冒充目標聯絡人,並使用線上會議排程工具Calendly來安排會議,之後透過Telegram與目標聯絡。受害者會收到一封看似來自Zoom的電子郵件,要求他們執行一個指令碼來升級Zoom開發套件(SDK)。然而,這個指令碼實際上是一個惡意的AppleScript,會讓受害者下載第二階段的惡意載荷。為了避開偵測,駭客故意在指令碼中加入了大量無效的空白內容,試圖混淆其真正功能。在攻擊的過程中,兩個Mach-O格式的二進位檔案(名為a和installer)被植入受害者的macOS系統。這些檔案分別是用C++和Nim語言編寫,並用於進一步擴展攻擊鏈。a檔案是C++編譯的執行檔,會載入一個名為“netchk”的有效載荷,並執行資料竊取,範圍包括系統資料、瀏覽器資料、Telegram交談記錄等重要資訊。installer檔案則是由Nim語言打造,用於讓攻擊者在受害電腦上持續活動,並透過特製的Nim檔案(如GoogIe LLC和CoreKitAgent)來隱藏在系統中。CoreKitAgent是攻擊過程中的核心,這些檔案利用macOS的kqueue機制來監控並攔截SIGINT和SIGTERM終止信號,確保即使使用者或系統發送終止命令,CoreKitAgent仍會重新部署並保持活躍。SentinelOne發現這些攻擊行為在多個版本中出現,並且攻擊活動從2022年10月開始,直到2023年4月仍在持續。SentinelOne的調查發現,這場攻擊的規模比最初曝光時預期的更大,駭客使用了多個C2網域來進行攻擊控制。這些網域來自公開的儲存庫,並且與此前公開的惡意活動相關聯,進一步證實這是一場大規模的網絡攻擊。
總體而言,這場由北韓駭客發起的攻擊,使用了多種技術與策略來避開傳統的防禦機制,並利用Nim這一較少見的程式語言來開發macOS後門程式,突顯了駭客在突破安全防護方面的創新手段。這種複雜且高效的攻擊模式為企業和資安團隊提供了寶貴的警示,表明在加密貨幣和Web3領域的安全防護依然面臨巨大挑戰。
