Puntos Clave de la Noticia
- Hackers norcoreanos engañan a profesionales cripto con actualizaciones falsas de Zoom a través de enlaces de Telegram y Calendly, implementando la escurridiza puerta trasera NimDoor en macOS.
- Desarrollado en Nim para evadir Gatekeeper y herramientas antivirus, NimDoor persiste al inicio y recopila contraseñas del navegador, datos de Telegram y seeds de cripto wallets para su exfiltración.
- Los equipos de seguridad deben bloquear los instaladores sin firmar, restringir las actualizaciones a dominios de confianza, auditar las invitaciones de Telegram, deshabilitar la ejecución automática de scripts y reforzar la concienciación de los usuarios sobre el phishing.
Los hackers norcoreanos han perfeccionado sus herramientas de ingeniería social engañando a profesionales cripto para que descarguen una actualización falsa de Zoom. Los objetivos reciben mensajes de Telegram que prometen un parche de seguridad urgente, seguidos de un enlace de Calendly para programar una reunión obligatoria.
Cuando la víctima instala la supuesta actualización de Zoom en macOS, NimDoor se infiltra silenciosamente en el sistema, eludiendo las comprobaciones de seguridad de Apple y las protecciones de Gatekeeper para establecerse en segundos.
La Puerta Trasera de NimDoor Evade las Protecciones de MacOS
Lo que hace único a NimDoor es su inusual selección de lenguaje de programación: Nim. Las herramientas de seguridad convencionales y las comprobaciones de firmas integradas de Apple no reconocen sus patrones de código, lo que le otorga a la puerta trasera un acceso prácticamente libre.
Una vez ejecutado, NimDoor instala un agente de elemento de inicio de sesión que garantiza una ejecución persistente en cada arranque. A partir de ahí, extrae silenciosamente cargas útiles de seguimiento, modificando su comportamiento para evadir la detección estática y de comportamiento en los ciclos de modificación de código europeos.
Robo de Credenciales de Wallets y Datos Confidenciales
Con privilegios de sistema en su poder, NimDoor rastrea los perfiles del navegador en busca de contraseñas almacenadas y ceros en las bases de datos de Telegram. Luego, rastrea directorios locales en busca de archivos de wallets de criptomonedas, frases semilla, JSON de almacén de claves y llaveros locales, preparándolos para la exfiltración.
La firma de inteligencia de amenazas TRM Labs señala que los operadores de la RPDC han desviado más de $1.600 millones de empresas de Web3 y criptomonedas en lo que va de 2025, lo que subraya el posible papel de NimDoor en este lucrativo botín.
Recomendaciones para Fortalecer las Defensas de las Empresas cripto
Los expertos en seguridad instan a las empresas a bloquear los paquetes de instalación sin firmar en el perímetro de la red y restringir los sistemas macOS para que obtengan actualizaciones únicamente de dominios verificados como zoom.us. Los equipos de TI deben auditar los contactos recién agregados de Telegram y desactivar la ejecución automática de scripts para las invitaciones a reuniones descargadas.
La revisión periódica de las entradas de los elementos de inicio de sesión y el empleo de agentes de IA conductual pueden detectar mecanismos de persistencia clandestinos. Sobre todo, la formación continua de los usuarios sigue siendo fundamental; un clic erróneo en una actualización falsa es todo lo que necesita un atacante.
