安全研究人员发现，有黑客一直在使用一种名为 NimDoor 的新 macOS 恶意软件系列，以 web3 和加密货币组织为目标。分析有效载荷的研究人员发现，攻击者依赖于不寻常的技术和以前未见过的基于信号的持久性机制。

该攻击链包括通过 Telegram 联系受害者，引诱他们运行假的 Zoom SDK 更新，通过 Calendly 和电子邮件发送，类似于最近与 BlueNoroff 关联的一个由 Huntress 管理的安全平台。

高级 macOS 恶意软件

网络安全公司 SentinelOne 的研究人员表示，黑客在 macOS 上使用 c++ 和 NimDoor 编译的二进制文件（统称为 NimDoor），这 " 是一种更不寻常的选择 "。

其中一个由 nimm 编译的二进制文件，‘ installer ’，负责初始设置和分级，准备目录和配置路径。它还会将另外两个二进制文件 "GoogIe LLC" 和 "CoreKitAgent" 放入受害者的系统中。

GoogIe LLC 接管收集环境数据并生成十六进制编码的配置文件，将其写入临时路径。它为持久性设置了 macOS LaunchAgent ( com.google.update.plist ) ，它在登录时重新启动 GoogIe LLC，并为以后的阶段存储身份验证密钥。

攻击中使用的最先进的组件是 CoreKitAgent，这是 NimDoor 框架的主要有效载荷，它作为事件驱动的二进制文件运行，使用 macOS 的 kqueue 机制来异步管理执行。

它实现了一个带有硬编码状态转换表的 10 例状态机，允许基于运行时条件的灵活控制流。最显著的特性是它基于信号的持久性机制，它为 SIGINT 和 SIGTERM 安装自定义处理程序。

为 SIGINT 和 SIGTERM 注册自定义信号处理程序

这些信号通常用于终止进程，但是当其中任何一个被捕获时，CoreKitAgent 会触发一个重新安装例程，重新部署 GoogIe LLC，恢复持久链。

当触发时，CoreKitAgent 捕获这些信号并写入 LaunchAgent 用于持久化，GoogIe LLC 的副本作为加载器，以及自身的副本作为木马，通过 addExecutionPermissions_user95startup95mainZutils_u32 函数设置后两者的可执行权限。这种行为确保了任何用户发起的恶意软件终止都会导致核心组件的部署，使代码能够抵御基本的防御行动。

当进程终止时将恶意软件组件写回磁盘

CoreKitAgent 解码并运行十六进制编码的 AppleScript，该 AppleScript 每 30 秒向攻击者基础设施发出信标，泄露系统数据，并通过 osascript 执行远程命令，提供轻量级后门。

与 NimDoor 执行并行，zoom_sdk_support.scpt 触发涉及 trojan1_arm64 的第二个注入链，它启动基于 wss 的 C2 通信并下载两个脚本（upl 和 tlgrm），以促进数据盗窃。

在 "zoom_sdk_support. conf" 的情况下，在 Scpt 的加载器中，研究人员注意到它包含超过 10000 行用于混淆目的的空白行。

Upl 从 web 浏览器中提取数据，抓取 Keychain，.bash_history 和 .zsh_history，并使用 curl 将其泄露到 dataupload [ . ] store。Tlgrm 专注于窃取 Telegram 数据库和 . tempkeyencrypted，很可能使用它们来解密目标在平台上交换的消息。

针对 Telegram 数据的 tlgrm 脚本

总的来说，NimDoor 框架和 SentinelLABS 分析的其他后门是与朝鲜威胁者有关的最复杂的 macOS 恶意软件家族。

该恶意软件的模块化使其具有灵活性，并且使用了新的技术，如基于信号的持久性，这表明朝鲜网安人员正在发展他们的工具包以扩展其跨平台能力。