Perusahaan keamanan Sentinel Labs mengungkapkan adanya malware baru bernama "NimDoor" yang diduga dikembangkan oleh peretas yang didukung Korea Utara, menargetkan perusahaan di sektor kripto. Malware ini menyamar sebagai pembaruan Zoom dan menyebar melalui Telegram, memanfaatkan bahasa pemrograman langka Nim untuk mengelabui sistem keamanan Apple dan mencuri data sensitif seperti dompet kripto, kata sandi browser, dan basis data lokal Telegram.

NimDoor, yang pertama kali diidentifikasi pada April 2025 oleh Huntabil.IT, memanfaatkan teknik injeksi proses dan komunikasi terenkripsi via WebSocket (wss) untuk menghindari deteksi. Laporan dari SentinelLabs, sebagaimana dikutip dalam situs mereka, menyoroti bahwa malware ini dirancang untuk menargetkan organisasi Web3 dan kripto, dengan fokus pada perangkat macOS. Serangan dimulai dengan rekayasa sosial melalui tautan Zoom palsu yang mengunduh skrip AppleScript berbahaya, yang kemudian mengunduh payload tambahan untuk mencuri kredensial.

Menurut analisis teknis dari SentinelLabs, NimDoor menggunakan mekanisme persistensi berbasis sinyal (SIGINT/SIGTERM) yang unik, memungkinkannya tetap aktif bahkan setelah upaya penghentian oleh pengguna. Skrip Bash yang diunduh oleh malware ini menargetkan data dari browser seperti Chrome dan Firefox, serta kredensial Keychain macOS dan basis data Telegram, yang kemudian diekfiltrasi ke server command-and-control. Laporan tersebut juga mencatat penggunaan domain palsu seperti `support.us05web-zoom[.]forum` untuk menipu korban.

Serangan ini menyoroti kerentanan ekosistem kripto, di mana nilai pasar kripto global diperkirakan mencapai triliunan dolar, menjadikannya target utama peretas. Dengan kemampuan NimDoor untuk mengelabui keamanan Apple, perusahaan teknologi dan pengguna perlu meningkatkan langkah-langkah perlindungan. Perkembangan lebih lanjut, termasuk respons dari otoritas siber dan perusahaan seperti Zoom, akan dipantau ketat dalam beberapa hari ke depan.