उत्तर कोरिया से जुड़े हैकर्स ने वेब3 और क्रिप्टोक्यूरेंसी कंपनियों को निशाना बनाने के लिए एक नए और परिष्कृत मैकओएस मालवेयर, जिसे निमडोर (NimDoor) कहा जाता है, का उपयोग शुरू किया है। यह मालवेयर निम (Nim) प्रोग्रामिंग लैंग्वेज में लिखा गया है, जो एक कम उपयोग की जाने वाली भाषा है और इसे पारंपरिक एंटीवायरस टूल्स द्वारा पकड़ना मुश्किल है। यह हमला विशेष रूप से क्रिप्टो और वेब3 सेक्टर में काम करने वाले मैक उपयोगकर्ताओं को टारगेट करता है।
हमले का तरीका
- सोशल इंजीनियरिंग: हैकर्स टेलीग्राम जैसे मैसेजिंग प्लेटफॉर्म पर भरोसेमंद संपर्कों के रूप में खुद को पेश करते हैं। वे पीड़ितों को कैलेंडली (Calendly) के जरिए मीटिंग शेड्यूल करने के लिए लुभाते हैं और फिर एक फर्जी ज़ूम एसडीके अपडेट लिंक भेजते हैं। यह लिंक एक AppleScript फाइल (zoom_sdk_support.scpt) डाउनलोड करता है, जिसमें “ज़ूम” के बजाय “ज़ूक” (Zook) जैसी टाइपो त्रुटि होती है, जो इसे और भ्रामक बनाती है।
- मालवेयर की स्थापना: फर्जी अपडेट स्क्रिप्ट चलाने पर, निमडोर मालवेयर मैक डिवाइस पर इंस्टॉल हो जाता है। यह मालवेयर कई चरणों में काम करता है:AppleScript: इसका उपयोग शुरुआती घुसपैठ और हल्के बैकडोर के रूप में किया जाता है, जो हर 30 सेकंड में हैकर्स के सर्वर से संपर्क करता है। Bash Scripts: ये स्क्रिप्ट्स ब्राउज़र डेटा (क्रोम, फ़ायरफ़ॉक्स, ब्रेव, आदि), iCloud Keychain क्रेडेंशियल्स, और टेलीग्राम यूज़र डेटा को चुराने के लिए उपयोग की जाती हैं। Nim और C++ बाइनरीज़: ये मालवेयर को लंबे समय तक सिस्टम में बनाए रखने और रिमोट कमांड निष्पादन के लिए जिम्मेदार हैं। एक बाइनरी, CoreKitAgent, सिग्नल-बेस्ड पर्सिस्टेंस मैकेनिज्म (SIGINT/SIGTERM) का उपयोग करती है, जो मालवेयर को हटाने की कोशिश करने या सिस्टम रीस्टार्ट होने पर भी इसे फिर से इंस्टॉल कर देती है।
- डेटा चोरी: निमडोर क्रिप्टो वॉलेट क्रेडेंशियल्स, ब्राउज़र पासवर्ड, टेलीग्राम मैसेज डेटा, और क्लिपबोर्ड पर कॉपी किए गए सीड फ्रेज़ या वॉलेट एड्रेस को टारगेट करता है। चुराया गया डेटा एन्क्रिप्टेड चैनलों के माध्यम से हैकर्स के सर्वर पर भेजा जाता है।
उत्तर कोरिया का मकसद
उत्तर कोरिया के हैकर्स, विशेष रूप से लाजरस ग्रुप और ब्लूनॉरॉफ (BlueNoroff) जैसे समूह, क्रिप्टोक्यूरेंसी चोरी के लिए कुख्यात हैं। 2025 की पहली छमाही में, इन समूहों ने वेब3 ऑपरेटरों से 1.6 बिलियन डॉलर से अधिक की चोरी की, जिसमें फरवरी 2025 में Bybit एक्सचेंज से 1.5 बिलियन डॉलर की चोरी शामिल है। ये हमले आर्थिक प्रतिबंधों से प्रभावित उत्तर कोरियाई शासन के लिए राजस्व उत्पन्न करने का एक तरीका हैं।
निम प्रोग्रामिंग लैंग्वेज का उपयोग
निमडोर का निम लैंग्वेज में लिखा होना इसे खास बनाता है, क्योंकि यह एक असामान्य और जटिल भाषा है। यह मालवेयर को विश्लेषण और डिटेक्शन से बचाने में मदद करता है। निम की कम्पाइल-टाइम ट्रिकरी और मैकओएस की देशी स्क्रिप्टिंग क्षमताओं (जैसे AppleScript) का उपयोग इसे पारंपरिक सिक्योरिटी टूल्स से बचाता है।
बचाव के उपाय
- संदिग्ध लिंक्स से बचें: टेलीग्राम या अन्य प्लेटफॉर्म पर अप्रत्याशित अपडेट या मीटिंग लिंक्स पर क्लिक करने से पहले उनकी प्रामाणिकता की जांच करें।
- ज़ूम अपडेट की पुष्टि: केवल आधिकारिक zoom.us वेबसाइट से अपडेट डाउनलोड करें।
- मल्टी-फैक्टर ऑथेंटिकेशन (MFA): क्रिप्टो वॉलेट्स और संवेदनशील खातों के लिए MFA लागू करें।
- वॉलेट हाइजीन: सीड फ्रेज़ और प्राइवेट कीज़ को सुरक्षित, ऑफलाइन स्टोर करें। ब्राउज़र एक्सटेंशन्स में क्रेडेंशियल्स स्टोर करने से बचें।
- एंटीवायरस और मॉनिटरिंग: SentinelOne या Intego जैसे थर्ड-पार्टी सिक्योरिटी सॉल्यूशंस का उपयोग करें, क्योंकि Apple का XProtect इस मालवेयर को पकड़ने में सीमित है।
- कर्मचारी प्रशिक्षण: वेब3 और क्रिप्टो कंपनियों को फिशिंग और सोशल इंजीनियरिंग के बारे में कर्मचारियों को प्रशिक्षित करना चाहिए।