近日，网络安全公司 SentinelLabs 披露了一起针对苹果 Mac 用户的复杂攻击事件，该攻击被称为 NimDoor。黑客组织利用 AppleScript、Bash、C++ 和 Nim 语言组合，伪装成 Zoom 会议邀请，窃取用户敏感数据。攻击者采用进程注入技术并通过 wss 协议进行远程通信，利用 SIGINT/SIGTERM 信号处理器实现持久化。攻击目标主要为 Web3 和加密相关企业，窃取 Keychain 凭据、浏览器数据及 Telegram 用户数据。此次攻击展现了 macOS 恶意软件向更复杂、跨平台语言转变的趋势。

💻攻击载体：NimDoor 恶意软件伪装成 Zoom 会议邀请，诱骗 Mac 用户下载并安装恶意软件。

🔑攻击技术：攻击者结合 AppleScript、Bash、C++ 和 Nim 语言，利用进程注入技术，并通过 wss 协议进行远程通信，从而窃取用户敏感数据。

🔄 持久化机制：攻击者利用 SIGINT/SIGTERM 信号处理器，在恶意软件被终止或系统重启时安装持久性，确保恶意软件持续运行。

🎯攻击目标：主要针对 Web3 和加密相关企业，窃取 Keychain 凭据、浏览器数据以及 Telegram 用户数据。

🌐 攻击趋势：NimDoor 反映了 macOS 恶意软件向更复杂、跨平台语言（如 Nim）转变的趋势，表明攻击手段日益复杂化。

IT之家 7 月 3 日消息，科技媒体 9to5Mac 昨日（7 月 2 日）发布博文，报道称有黑客组织结合 AppleScript、Bash、C++ 和 Nim 语言的技术链条，假冒 Zoom 会议邀请攻击苹果 Mac 用户，专门窃取敏感数据。

该攻击被网络安全公司 SentinelLabs 发现，并被命名为 NimDoor，其攻击方式要比传统 macOS 威胁更为复杂。

IT之家援引博文介绍，简要介绍下该攻击方式：DPRK 黑客组织利用 Nim 编译的安装文件和多个攻击链，攻击 Web3 和加密相关企业。

该 macOS 恶意软件的攻击者采用了进程注入技术，并通过 wss（WebSocket 协议的 TLS 加密版本）进行远程通信。

攻击者采用了一种新颖的持久性机制，利用 SIGINT/SIGTERM 信号处理器在恶意软件被终止或系统重启时安装持久性。

攻击者广泛使用 AppleScript，既用于初始访问，也在攻击链的后续阶段作为轻量级信标和后门；Bash 脚本被用来窃取 Keychain 凭据、浏览器数据以及 Telegram 用户数据。

研究人员还指出，NimDoor 反映了 macOS 恶意软件向更复杂、较少见的跨平台语言的转变，超越了黑客过去常用的 Go、Python 和 shell 脚本。