網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)針對(duì)Web3和加密貨幣平臺(tái)的新型macOS惡意軟件活動(dòng)，其采用的技術(shù)手段在蘋(píng)果生態(tài)系統(tǒng)中極為罕見(jiàn)。這款被命名為NimDoor的惡意軟件通過(guò)進(jìn)程注入能力和加密WebSocket通信竊取敏感用戶(hù)憑證與金融數(shù)據(jù)，標(biāo)志著macOS威脅的顯著升級(jí)。

社交工程攻擊入口

攻擊始于典型的社交工程手段：朝鮮黑客組織通過(guò)Telegram冒充可信聯(lián)系人安排虛假商務(wù)會(huì)議。受害者會(huì)收到偽造的Zoom會(huì)議邀請(qǐng)，附帶要求從攻擊者控制的域名（如support.us05web-zoom[.]forum）下載并執(zhí)行名為"Zoom SDK更新腳本"的惡意文件，這些域名刻意模仿Zoom官方基礎(chǔ)設(shè)施。

多語(yǔ)言架構(gòu)與進(jìn)程注入技術(shù)

該惡意軟件區(qū)別于普通macOS威脅的核心在于其技術(shù)復(fù)雜性和多層架構(gòu)。SentinelOne分析團(tuán)隊(duì)發(fā)現(xiàn)，攻擊者利用通常為調(diào)試工具保留的系統(tǒng)權(quán)限（entitlements），在macOS上實(shí)施罕見(jiàn)的進(jìn)程注入技術(shù)。這種手法使惡意代碼能夠植入合法進(jìn)程，既增強(qiáng)隱蔽性又規(guī)避傳統(tǒng)檢測(cè)機(jī)制。

攻擊鏈采用多種編程語(yǔ)言編寫(xiě)的組件：AppleScript負(fù)責(zé)初始訪(fǎng)問(wèn)，C++實(shí)現(xiàn)進(jìn)程注入，而核心功能則由Nim語(yǔ)言編譯的二進(jìn)制文件完成。這種技術(shù)組合表明攻擊者致力于開(kāi)發(fā)能有效入侵現(xiàn)代macOS系統(tǒng)、同時(shí)難以分析檢測(cè)的復(fù)雜工具。

基于信號(hào)攔截的持久化機(jī)制

惡意軟件最具創(chuàng)新性的特性是其持久化機(jī)制——前所未有地利用了macOS信號(hào)處理功能。NimDoor沒(méi)有采用LaunchAgents或Login Items等傳統(tǒng)方法，而是通過(guò)監(jiān)控系統(tǒng)信號(hào)維持駐留。其CoreKitAgent組件為SIGINT（中斷信號(hào)）和SIGTERM（終止信號(hào)）建立處理程序，有效攔截終止惡意進(jìn)程的嘗試。

當(dāng)用戶(hù)或系統(tǒng)試圖通過(guò)標(biāo)準(zhǔn)方法終止惡意軟件時(shí)，這些信號(hào)處理程序會(huì)被觸發(fā)，使進(jìn)程無(wú)法正常退出。此時(shí)惡意軟件會(huì)借機(jī)重新安裝自身：將LaunchAgent寫(xiě)入~/Library/LaunchAgents/com.google.update.plist，并復(fù)制組件文件確保系統(tǒng)重啟后仍能保持持久化。該機(jī)制通過(guò)以下代碼實(shí)現(xiàn)：

posix_spawnattr_init(&attrp) && !posix_spawnattr_setflags(&attrp, POSIX_SPAWN_START_SUSPENDED);
posix_spawn(&pid, filename, 0, &attrp, argv_1, environ);
kill(pid, SIGCONT);

登錄或重啟激活持久化機(jī)制后的執(zhí)行鏈（來(lái)源：SentinelOne）

加密通信與數(shù)據(jù)竊取

惡意軟件通過(guò)WebSocket Secure(wss)協(xié)議與命令控制服務(wù)器wss://firstfromsep[.]online/client通信，采用RC4加密與base64編碼的多層保護(hù)。該加密通道用于外泄竊取的鑰匙串（Keychain）憑證、Chrome/Firefox等主流瀏覽器的數(shù)據(jù)以及Telegram聊天記錄，同時(shí)有效規(guī)避網(wǎng)絡(luò)監(jiān)控工具的檢測(cè)。