近日,有安全报告显示,一个黑客组织利用 AppleScript、Bash、C++ 以及 Nim 编程语言构建了一套复杂的攻击链条,伪装成 Zoom 会议邀请,专门针对苹果 Mac 用户实施攻击,以窃取敏感信息。
此次攻击由网络安全公司 SentinelLabs 发现,并被命名为“NimDoor”。与以往 macOS 平台的威胁相比,该攻击手段更加复杂且隐蔽。据相关技术分析介绍,该攻击由一个名为 DPRK 的黑客组织实施,主要目标为涉及 Web3 和加密货币领域的公司。
攻击者采用进程注入技术,并通过 wss 协议(WebSocket 的加密版本)实现远程通信。此外,他们还设计出一种新颖的持久化机制:通过设置 SIGINT/SIGTERM 信号处理程序,在恶意程序被终止或系统重启时重新激活恶意负载,从而维持长期潜伏。
在攻击过程中,AppleScript 被广泛用于初始入侵阶段,同时也在后续攻击链中充当轻量级信标和后门功能。Bash 脚本则主要负责窃取用户的 Keychain 凭据、浏览器数据以及 Telegram 应用中的个人信息。
研究人员指出,NimDoor 的出现反映出 macOS 平台恶意软件的发展趋势,即越来越多地使用像 Nim 这类较少见但具备跨平台能力的语言,这与过去常用的 Go、Python 或 shell 脚本已有明显区别。
本文属于原创文章,如若转载,请注明来源:黑客利用多语言构建复杂攻击链,伪装Zoom邀请窃取Mac用户信息https://diy.zol.com.cn/1007/10074839.html
