JAKARTA – Para peretas yang berafiliasi dengan Korea Utara dilaporkan menggunakan malware canggih khusus macOS untuk menargetkan perusahaan Web3 dan kripto. Malware ini disebarkan melalui undangan Zoom palsu, dengan tujuan mencuri data sensitif dan menghindari deteksi sistem keamanan standar.
Laporan dari SentinelOne Labs mengungkap bahwa serangan ini menggunakan metode berlapis, yang melibatkan teknik rekayasa sosial, AppleScript berbahaya, dan file biner yang dikompilasi menggunakan bahasa pemrograman Nim — bahasa yang jarang digunakan di macOS sehingga menyulitkan proses deteksi.
Kampanye siber ini diberi nama “NimDoor”, menunjukkan taktik baru yang digunakan kelompok peretas Korea Utara untuk menembus sistem keamanan dan mencuri data dari perusahaan-perusahaan yang bergerak di sektor kripto.
Cara Serangan Berlangsung
Serangan biasanya dimulai dengan rekayasa sosial. Penyerang menyamar sebagai kontak terpercaya melalui aplikasi Telegram, kemudian mengajak korban untuk menjadwalkan panggilan Zoom melalui tautan Calendly.
Korban menerima email phishing berisi file update SDK Zoom palsu, dalam bentuk AppleScript berbahaya yang memiliki ribuan baris “padding” untuk menghindari deteksi. Skrip ini kemudian mengunduh malware tambahan dari server milik peretas yang meniru domain Zoom resmi.
Dua file biner utama ditemukan oleh para peneliti — satu ditulis dalam C++ dan satu lagi dalam Nim — yang digunakan untuk menciptakan akses tetap dan mencuri data.
Teknik Canggih untuk Akses dan Pencurian Data
Malware ini menggunakan metode tidak umum di macOS seperti injeksi proses dengan hak akses khusus, komunikasi terenkripsi melalui WebSocket TLS (wss), serta mekanisme persistensi berbasis sinyal.
Malware ini akan kembali diinstal jika pengguna mencoba mematikannya atau saat sistem di-reboot. Untuk mencuri data, malware ini menggunakan skrip Bash yang mengekstrak riwayat browser, kredensial dari Keychain, serta data Telegram.
Browser yang menjadi target mencakup Arc, Brave, Firefox, Chrome, dan Microsoft Edge. Bahkan, malware ini mengambil database Telegram lokal yang terenkripsi untuk kemungkinan di-crack secara offline.
Teknik Persistensi Licik
Untuk bertahan dalam sistem, malware memanfaatkan macOS LaunchAgents dengan nama-nama yang menyerupai file asli, seperti “GoogIe LLC” (mengganti huruf “L” kecil dengan “i” besar), agar terlihat seperti file dari Google. Ada juga file bernama “CoreKitAgent” yang memantau sinyal sistem dan menginstal ulang dirinya sendiri jika dihentikan.
Malware ini dilengkapi dengan fitur anti-analisis, seperti jeda asinkron selama 10 menit untuk menghindari deteksi dalam sandbox.
Evolusi Alat Serangan
Menurut SentinelOne, penggunaan bahasa Nim menunjukkan peningkatan kemampuan alat yang digunakan peretas. Kemampuan Nim dalam menjalankan kode saat kompilasi dan penggabungan kode pengembang dengan kode runtime menyulitkan analisis statis.
Beacon berbasis AppleScript memungkinkan pengendalian jarak jauh yang ringan tanpa perlu menggunakan framework eksploitasi berat yang lebih mudah terdeteksi oleh sistem keamanan.
Cara Melindungi Diri dari NimDoor
1. Jangan jalankan skrip atau pembaruan perangkat lunak yang diterima lewat email atau pesan yang mencurigakan, meskipun terlihat berasal dari kontak terpercaya.
2. Periksa URL secara teliti karena peretas sering menggunakan domain tiruan.
3. Selalu perbarui sistem macOS dan aplikasi ke versi terbaru untuk menutup celah keamanan.
4. Gunakan aplikasi keamanan endpoint terpercaya yang bisa mendeteksi injeksi proses, AppleScript berbahaya, atau agen peluncur mencurigakan.
5. Periksa login item dan LaunchAgents secara berkala untuk mendeteksi entri tidak sah.
6. Gunakan kata sandi kuat dan unik, serta aktifkan autentikasi dua faktor (2FA) di mana pun tersedia.