苹果macOS恶意软件新趋势：串联使用跨平台语言、攻击更复杂

IT之家 7 月 3 日消息，科技媒体 9to5Mac 昨日（7 月 2 日）发布博文，报道称有黑客组织结合 AppleScript、Bash、C++ 和 Nim 语言的技术链条，假冒 Zoom 会议邀请攻击苹果 Mac 用户，专门窃取敏感数据。

该攻击被网络安全公司 SentinelLabs 发现，并被命名为 NimDoor，其攻击方式要比传统 macOS 威胁更为复杂。

IT之家援引博文介绍，简要介绍下该攻击方式：DPRK 黑客组织利用 Nim 编译的安装文件和多个攻击链，攻击 Web3 和加密相关企业。

该 macOS 恶意软件的攻击者采用了进程注入技术，并通过 wss（WebSocket 协议的 TLS 加密版本）进行远程通信。

攻击者采用了一种新颖的持久性机制，利用 SIGINT/SIGTERM 信号处理器在恶意软件被终止或系统重启时安装持久性。

攻击者广泛使用 AppleScript，既用于初始访问，也在攻击链的后续阶段作为轻量级信标和后门；Bash 脚本被用来窃取 Keychain 凭据、浏览器数据以及 Telegram 用户数据。

研究人员还指出，NimDoor 反映了 macOS 恶意软件向更复杂、较少见的跨平台语言的转变，超越了黑客过去常用的 Go、Python 和 shell 脚本。