Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, baru-baru ini mengungkapkan kampanye peretasan tingkat lanjut yang ditargetkan kepada pengguna macOS. Serangan yang dikenal sebagai NimDoor diduga dilakukan oleh kelompok peretas yang terkait dengan Korea Utara (DPRK). Sasaran utamanya adalah komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang menggunakan perangkat Mac untuk pekerjaan dan pengelolaan aset digital.
Skema serangan tersebut dimulai dengan menyamar sebagai pihak tepercaya yang mengundang korban untuk menjadwalkan rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta pembaruan aplikasi Zoom. Tanpa disadari, saat korban mengklik tautan pembaruan tersebut, dua file berbahaya diunduh ke sistem Mac mereka, yang kemudian meluncurkan proses untuk mengambil informasi sistem dan data aplikasi, serta memberi akses jangka panjang ke perangkat korban.
Selain itu, malware juga menyusupkan dua skrip Trojan Bash yang digunakan untuk mencuri data dari berbagai browser seperti Chrome, Firefox, Brave, Arc, dan Edge, serta mengekstrak informasi terenkripsi dari Telegram. Metode yang digunakan sangat canggih dan sulit dideteksi karena menggunakan bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran tingkat lanjut.
SentinelLabs mencatat bahwa skema serupa sebelumnya telah terdeteksi oleh Huntabil.IT (April 2025) dan Huntress (Juni 2025), menunjukkan bahwa kelompok peretas ini secara konsisten menargetkan pengguna Web3 secara global.
