Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, baru-baru ini mengungkap kampanye peretasan tingkat lanjut yang ditujukan kepada pengguna macOS. Serangan ini dikenal dengan nama NimDoor dan diduga dilakukan oleh aktor ancaman yang berhubungan dengan Korea Utara (DPRK). Sasaran utamanya adalah komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang biasanya menggunakan perangkat Mac untuk aktivitas kerja dan manajemen aset digital.
Skema peretasan tersebut dimulai dengan menyamar sebagai entitas tepercaya yang mengajukan jadwal rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta mereka untuk memperbarui aplikasi Zoom. Dengan mengklik tautan pembaruan tersebut, korban tanpa sadar mengunduh dua file berbahaya ke perangkat Mac mereka. File ini kemudian menjalankan dua proses terpisah: mengambil informasi sistem dan data aplikasi, serta memberikan akses jangka panjang ke perangkat korban.
Selain itu, malware juga menyisipkan dua skrip Trojan Bash yang secara spesifik mencuri data dari browser seperti Chrome, Firefox, Brave, Arc, dan Edge, serta mengekstrak informasi terenkripsi dari Telegram. Metode ini sulit terdeteksi karena menggunakan bahasa pemrograman Nim, komponen malware, dan teknik penyamaran tingkat lanjut. SentinelLabs melaporkan bahwa skema serupa sebelumnya telah terdeteksi oleh Huntabil.IT (April 2025) dan Huntress (Juni 2025), menunjukkan bahwa kelompok peretas ini secara konsisten mengincar target-target Web3 secara global.
