Peneliti keamanan siber dari SentinelLabs baru-baru ini mengungkap kampanye peretasan tingkat lanjut yang menargetkan pengguna macOS. Serangan ini disebut NimDoor dan diduga dilakukan oleh aktor ancaman yang terkait dengan Korea Utara (DPRK). Sasaran utamanya adalah komunitas dan pelaku bisnis skala kecil di Web3, termasuk investor kripto yang menggunakan perangkat Mac.
Modus operasi peretas cukup rumit namun efektif. Mereka menyamar sebagai pihak tepercaya yang mengundang korban untuk menjadwalkan rapat melalui Calendly. Korban menerima email palsu yang meminta pembaruan aplikasi Zoom. Tanpa disadari, saat korban mengklik tautan pembaruan, dua file berbahaya diunduh ke perangkat Mac mereka. File ini kemudian menjalankan proses untuk mengambil informasi sistem dan memberikan akses jangka panjang ke perangkat korban.
Malware juga menyusupkan dua skrip Trojan Bash yang mencuri data dari browser seperti Chrome, Firefox, Brave, Arc, dan Edge. Mereka juga mengekstrak informasi terenkripsi dari Telegram. Metode ini sulit dideteksi karena menggunakan bahasa pemrograman Nim, komponen malware, dan teknik penyamaran tingkat lanjut.
Berdasarkan SentinelLabs, serangan serupa telah terdeteksi sebelumnya oleh Huntabil.IT (April 2025) dan Huntress (Juni 2025). Hal ini menunjukkan bahwa kelompok peretas ini secara konsisten menargetkan pengguna Web3 secara global.
