Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, telah mengungkap kampanye peretasan yang ditujukan kepada pengguna macOS yang dikenal sebagai NimDoor. Serangan ini diduga dilakukan oleh aktor ancaman yang terkait dengan Korea Utara. Sasaran utamanya adalah komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang sering menggunakan perangkat Mac.
Skema peretasan yang digunakan oleh pelaku terbilang rumit namun efektif. Mereka menyamar sebagai pihak terpercaya yang ingin menjadwalkan rapat melalui Calendly, lalu mengirimkan email palsu kepada korban yang meminta pembaruan aplikasi Zoom. Ketika korban mengklik tautan tersebut, dua file berbahaya diunduh ke sistem Mac mereka yang kemudian meluncurkan dua proses terpisah: pertama, mengambil informasi sistem dan data aplikasi; kedua, memberikan akses jangka panjang ke perangkat korban.
Selain itu, malware ini juga menyusupkan dua skrip Trojan Bash yang dapat mencuri data dari berbagai browser serta mengekstrak informasi terenkripsi dari Telegram. Metode ini sulit dideteksi karena menggunakan bahasa pemrograman Nim, komponen malware, dan teknik penyamaran tingkat lanjut. SentinelLabs mencatat bahwa skema serupa sudah terdeteksi sebelumnya oleh Huntabil.IT (April 2025) dan Huntress (Juni 2025), menunjukkan bahwa kelompok peretas ini secara konsisten mengincar target-target Web3 di seluruh dunia.
