2025年7月2日、SentinelOneの脅威研究チームのPhil StokesとRaffaele Sabatoは、北朝鮮系脅威アクターがmacOS専用マルウェア「NimDoor」を使用してWeb3および暗号資産プラットフォームを標的にしていると報告した。
攻撃者はTelegramで信頼できる連絡先になりすまし、Calendlyを通じて偽のZoom会議招待を送信する。ターゲットには「Zoom SDK更新スクリプト」の実行を指示し、「zoom_sdk_support.scpt」が実行されると、マルウェアがTelegramユーザーデータ、ブラウザデータ、Apple Keychain認証情報を窃取する。
NimDoorはクロスプラットフォームプログラミング言語Nimで開発され、SIGINT/SIGTERMシグナルハンドラーを利用した永続化機能とWebSocketプロトコルのTLS暗号化版であるwssを使用したリモート通信機能を持つ。
2025年4月にはHuntabil.ITが、2025年6月にはHuntressが同様の攻撃を観測している。
【編集部解説】
今回のNimDoorマルウェア事案は、サイバーセキュリティ業界において複数の重要な転換点を示しています。まず注目すべきは、北朝鮮系攻撃グループがmacOSを標的とした攻撃を本格化させている点です。従来、macOSは「安全」とされてきましたが、Web3・暗号資産業界の成長とともに、攻撃者の関心も高まっているのが現実です。
過去の類似事案との関連性
この攻撃は完全に新しいものではありません。セキュリティ研究者Patrick Wardle氏が2024年夏に報告したMicrotalkビデオ通話サービスを偽装したmacOS情報窃取マルウェアや、Cado Securityが2024年8月に説明したブラウザ認証情報と暗号資産ウォレットを標的とするmacOS情報窃取マルウェアとの類似性が見られます。また、SentinelOneは以前にもDPRK脅威アクターが就職面接を口実にmacOSマルウェアをインストールさせるキャンペーンについて詳述しており、北朝鮮系グループの継続的な戦術進化を示しています。
Nim言語の戦略的選択
攻撃者がNim言語を選択した理由は技術的に非常に巧妙です。Nimはコンパイル時に関数を実行できる独特な機能を持ち、開発者のコードとNimランタイムコードが関数レベルで混在するため、解析が困難になります。これまで北朝鮮系グループはGoやRustといった言語も実験してきましたが、Nimの採用は新たな技術的進歩を示しています。
攻撃手法の高度化
NimDoorの最も革新的な特徴は、SIGINT/SIGTERMシグナルハンドラーを利用した永続化メカニズムです。これは、マルウェアが終了されたりシステムが再起動されたりした際に、自動的に再インストールされる仕組みで、macOSマルウェアとしては前例のない技術です。CoreKitAgentコンポーネントは、これらのシグナルをキャッチしてLaunchAgentを書き込み、GoogIe LLCのコピーとtrojanのコピーを作成し、実行権限を設定します。
攻撃チェーンの詳細
攻撃は「zoom_sdk_support.scpt」スクリプトから始まり、このスクリプトは10,000行以上の空白行でパディングされて難読化されています。スクリプトは「support.us05web-zoom[.]forum」のような正規のZoomサポートURLに似せたドメインから第2段階のペイロードを取得します。その後、2つのMach-Oバイナリ(C++でコンパイルされた「a」とNimでコンパイルされた「installer」)が/tmpにドロップされ、独立した実行チェーンを開始します。
社会工学的手法の巧妙化
攻撃の入り口となる社会工学的手法も注目に値します。CalendlyやTelegramといった日常的に使用されるツールを悪用し、信頼できる連絡先になりすます手法は、リモートワークが定着した現在の働き方を逆手に取ったものです。「Zoom SDK更新スクリプト」という名目も、コロナ禍以降のビデオ会議文化に巧妙に適応しています。
Web3・暗号資産業界への影響
この攻撃が与える影響は業界全体に及びます。2025年2月にはLazarusグループがByBitから14億ドル相当の暗号資産を盗んでおり、北朝鮮による暗号資産窃取は国家レベルの収入源となっています。Web3企業の多くがmacOSを使用する開発者を抱えているため、この脅威は直接的なビジネスリスクとなります。
技術的複雑性がもたらす課題
NimDoorの技術的複雑性は、セキュリティ業界にとって新たな課題を提起しています。AppleScript、C++、Nimという複数の言語を組み合わせた攻撃チェーンは、従来の検知システムでは対応が困難です。特に、プロセスインジェクション技術の使用は、macOSの特定の権限を必要とするため、攻撃者の技術力の高さを物語っています。
防御策の重要性
防御者は、SentinelOneが公開したIOC(侵害指標)を確認し、信頼できるエンドポイント保護ソリューションの導入を確実にすべきです。特にTelegramを介したソーシャルメディアからの未承諾の会議招待や、会議を促進するためのソフトウェア更新・ダウンロード要求は危険信号として認識すべきです。
長期的な業界への影響
この事案は、クロスプラットフォーム言語を使用したマルウェア開発の新たなトレンドを示唆しています。攻撃者がより多様な言語を習得し、プラットフォーム固有の防御策を回避する能力を高めていることは、セキュリティ業界全体にとって警鐘となります。
この事案は、テクノロジーの進歩と脅威の進化が表裏一体であることを改めて示しています。Web3や暗号資産といった革新的な技術分野ほど、新たなサイバー脅威の標的となりやすいのが現実です。業界全体での情報共有と協力体制の構築が、今後の発展には不可欠でしょう。
【用語解説】
NimDoor
北朝鮮系脅威アクターが使用するmacOS専用マルウェアの名称。Nim言語で開発された特徴からSentinelOneが命名した。
Nim言語
クロスプラットフォーム対応のプログラミング言語。コンパイル時に関数を実行できる独特な機能を持ち、開発者のコードとランタイムコードが関数レベルで混在するため、マルウェア解析を困難にする。
DPRK(朝鮮民主主義人民共和国)
北朝鮮の正式名称。サイバー攻撃分野では国家支援型の脅威アクターグループを指す際に使用される。
Web3
分散型インターネットの概念。ブロックチェーン技術を基盤とし、中央集権的なプラットフォームに依存しない次世代のウェブサービス。
SIGINT/SIGTERM
Unixライクシステムにおけるシグナル。プロセスの終了や割り込みを制御する仕組み。NimDoorはこれを悪用して永続化を実現している。
WebSocket(wss)
リアルタイム双方向通信を可能にするプロトコル。wssはTLS暗号化されたWebSocketを指す。macOSマルウェアでの使用は珍しい。
Apple Keychain
macOSの認証情報管理システム。パスワードや証明書などの機密情報を暗号化して保存する。
プロセスインジェクション
実行中の正当なプロセスに悪意のあるコードを注入する攻撃手法。検知を回避する目的で使用される。
AppleScript
macOS用のスクリプト言語。システムの自動化やアプリケーション間の連携に使用される。
CoreKitAgent
NimDoorフレームワークの主要ペイロード。イベント駆動型バイナリとして動作し、macOSのkqueueメカニズムを使用して非同期実行を管理する。
GoogIe LLC
NimDoorが展開するバイナリの一つ。正規のGoogleを模倣した名称(大文字のIを使用)で、環境データの収集と永続化を担当する。
LaunchAgent
macOSの自動起動メカニズム。ユーザーログイン時にプログラムを自動実行する仕組み。
Lazarusグループ
北朝鮮に関連するとされるサイバー攻撃グループ。金融機関や暗号資産取引所への攻撃で知られる。
【参考リンク】
SentinelOne(外部)
AI搭載のサイバーセキュリティプラットフォームを提供する企業。エンドポイント、クラウド、アイデンティティ、データ保護を統合したソリューションを展開している。
Dark Reading(外部)
サイバーセキュリティ業界の専門メディア。脅威情報、攻撃事例、防御技術に関する最新ニュースと分析記事を提供している。
SentinelLABS NimDoor分析記事(外部)
NimDoorマルウェアの詳細な技術分析レポート。攻撃チェーン、永続化メカニズム、C2通信手法について包括的に解説している。
The Hacker News(外部)
サイバーセキュリティ分野の国際的なニュースメディア。最新の脅威情報、攻撃手法、防御技術に関する記事を配信している。
BleepingComputer(外部)
コンピューターセキュリティとテクノロジーニュースの専門サイト。マルウェア分析、脆弱性情報、セキュリティアップデートを提供している。
【参考記事】
North Korean Hackers Target Web3 with Nim Malware and Fake Zoom Updates(外部)
The Hacker NewsによるNimDoor攻撃の詳細報告。社会工学的手法、攻撃チェーン、技術的特徴について包括的に解説している。
NimDoor crypto-theft macOS malware revives itself when killed(外部)
BleepingComputerによるNimDoorの自己復活機能に焦点を当てた分析記事。SIGINT/SIGTERMシグナルハンドラーを利用した永続化メカニズムについて詳述している。
North Korean Hackers Target Crypto Firms with Novel macOS Malware(外部)
Infosecurity Magazineによる北朝鮮系ハッカーの新しいmacOSマルウェア攻撃に関する報告。Lazarusグループによる14億ドルのByBit攻撃との関連性も言及している。
North Korea-linked threat actors spread macOS NimDoor malware via fake Zoom updates(外部)
Security Affairsによる偽Zoom更新を通じたNimDoor配布に関する詳細分析。攻撃手法、マルウェアの機能、防御策について包括的に解説している。
【編集部後記】
Web3や暗号資産の分野で活動されている皆さんは、普段どのようなセキュリティ対策を取られていますか?今回のNimDoor事案を見ると、従来の「macOSは安全」という認識だけでは不十分かもしれません。
特にTelegramでの連絡やZoom会議が日常的な皆さんにとって、この攻撃手法は他人事ではないでしょう。私たちも含め、テクノロジーの最前線にいる者として、どこまでリスクを受け入れ、どこから警戒すべきか、一緒に考えていければと思います。皆さんの職場や開発環境では、どのような対策が現実的でしょうか?
