Jakarta, 4 Juli 2025 — Peneliti keamanan siber dari SentinelLabs mengungkap kampanye peretasan canggih yang menyasar pengguna macOS, khususnya pelaku bisnis dan komunitas Web3. Serangan ini dijuluki NimDoor dan diduga kuat berasal dari aktor ancaman yang berafiliasi dengan Korea Utara (DPRK).
Dilansir dari CryptoPotato, Jumat (4/7), metode serangan dimulai dengan email phishing yang menyamar sebagai undangan rapat dari layanan Calendly, disusul permintaan palsu untuk memperbarui aplikasi Zoom. Saat korban mengeklik tautan tersebut, dua file berbahaya langsung diunduh ke perangkat korban.
Malware ini melancarkan dua aksi utama:
- Mengambil data sistem dan informasi aplikasi korban.
- Memberi akses jangka panjang kepada peretas ke perangkat Mac.
Selain itu, NimDoor menyusupkan skrip Trojan Bash untuk mencuri data dari berbagai browser populer serta mengekstrak informasi terenkripsi dari Telegram. Dengan menggunakan bahasa pemrograman Nim dan teknik penyamaran tingkat lanjut, serangan ini sangat sulit terdeteksi.
Peneliti blockchain independen ZachXBT turut mengaitkan aktivitas ini dengan aliran dana mencurigakan dari Korea Utara. Ia melacak transfer lebih dari $2,76 juta dalam bentuk USDC ke individu yang terlibat di sejumlah proyek Web3. Beberapa dompet terkait memiliki kemiripan dengan alamat yang sudah diblokir oleh Tether pada 2023 karena diduga terhubung dengan aktor DPRK, Sim Hyon Sop.
ZachXBT memperingatkan bahwa startup yang mempekerjakan banyak pekerja IT asal Korea Utara sangat rentan terhadap eksploitasi, terutama jika mereka memiliki akses ke kontrak pintar (smart contract).
Para ahli mengimbau agar pengguna Mac di sektor Web3 lebih waspada terhadap teknik social engineering seperti tautan palsu pembaruan software. Selalu pastikan pembaruan hanya dilakukan melalui situs resmi dan hindari klik dari email yang mencurigakan.