Les hackers nord-coréens reviennent en force avec un malware sournois qui s’attaque aux entreprises crypto sur macOS et qui est surnommé NimDoor. Détecté le 3 juillet 2025 par SentinelLabs, ce virus exploite des mises à jour Zoom frauduleuses pour piller wallets et données sensibles. Avec un Bitcoin à 110 387 $, cette menace peut-elle ébranler le marché crypto ? Analysons ce danger qui secoue la communauté.
NimDoor : une arme furtive contre les Mac
🚨 New: @LabsSentinel exposes NimDoor, a novel macOS malware used by DPRK threat actors to target Web3 and crypto
🧪 Bottom line: NimDoor reflects a leap in DPRK’s offensive toolkit, mixing compile-time trickery with native scripting to sidestep traditional defenses.
🧠 What’s… pic.twitter.com/l66CXS59BY
— SentinelOne (@SentinelOne) July 2, 2025
Il est vrai que les Mac passaient pour des forteresses numériques, mais NimDoor prouve le contraire. Attribué à BlueNoroff, un groupe nord-coréen, ce malware utilise des leurres ingénieux. Les hackers envoient des invitations Zoom via Calendly, incitant les victimes à installer une fausse mise à jour. Ce fichier, truffé de 10 000 lignes de code inutile pour tromper les antivirus, déploie NimDoor, codé dans le langage obscur Nim.
D’ailleurs, ce virus est un chef-d’œuvre de discrétion. Il s’installe via des binaires comme « GoogIe LLC » (avec un « I » majuscule) et « CoreKitAgent », assurant une persistance avec des signaux SIGINT/SIGTERM. Il pille les mots de passe Keychain, l’historique des navigateurs (Chrome, Safari) et les bases Telegram. Sur X, @SentinelOne alerte sur des vols de wallets, avec 1,9 million d’impressions en 24 heures. Peut-il passer inaperçu ?
Effectivement, NimDoor est conçu pour l’évasion. Avec un délai d’activation de 10 minutes et des communications via WebSocket (wss), il déjoue les scans traditionnels. Les nord-coréens, responsables de 1,3 milliard de dollars volés en 2024 selon Chainalysis, affinent leurs armes.
Un coup dur pour la crypto
Cette menace pèse sur tout l’écosystème crypto. Par exemple, des projets encore nouveaux pourraient se retrouver en difficulté. Moins l’écosystème est sûr, moins il attire.
Par ailleurs, NimDoor cible les extensions de wallets, exposant clés privées et seed phrases. Avec plus de 2,5 milliards de dollars perdus en hacks crypto en 2025, la communauté est sur les dents et l’écosystème doit réagir face à cette menace. Les firmes Web3, comme celles qui utilisent le bien connu et très réputé wallet MetaMask, doivent renforcer leurs défenses. Des solutions existent : activer la MFA, éviter les liens suspects et vérifier les URL Zoom (ex. : « Z00m » au lieu de « Zoom »).
Comment stopper NimDoor avant qu’il ne frappe ?
Il semblerait que NimDoor soit un tournant pour les hackers nord-coréens, mais la riposte est possible. Leur choix du langage Nim, rarement utilisé, suit une tendance : après Go et Rust, ils misent sur l’obscurité pour contourner les antivirus. La persistance via LaunchAgents et AppleScript rend l’éradication complexe, mais des mesures concrètes peuvent limiter les dégâts.
De plus, les régulations comme MiCA en Europe poussent les firmes à adopter des protocoles robustes. Les utilisateurs doivent éviter les mises à jour douteuses et utiliser des antivirus comme Malwarebytes. Une correction du Bitcoin sous les 95 000 $ pourrait amplifier l’impact d’une vague de hacks. Enfin, la communauté sur X appelle à une vigilance accrue face aux scams Telegram.
NimDoor est un signal d’alarme pour la crypto. Les hackers nord-coréens, avec 3,4 milliards de dollars volés depuis 2021, ne relâchent pas la pression. Sécurisez vos systèmes, car la révolution crypto ne doit pas être un casse !