Mac用户紧急警报:2025朝鲜Nim病毒窃取Telegram数据
嘿,用Mac聊Telegram的朋友们,最近是不是觉得“安全”俩字儿有点悬了?
说实话,以前总听说Windows中毒多,Mac用户还能偷着乐。可今年夏天,朝鲜黑客搞了个叫 “NimDoor” 的新病毒,专门盯着Mac用户的Telegram聊天记录和加密钱包下手!这可不是危言耸听——安全公司SentinelLabs刚扒出它的老底,攻击链设计得跟谍战片似的,连安全专家都直呼“狡猾” 。
一、 攻击三步曲:假熟人、假会议、真陷阱
-
冒充“老铁”设局
黑客先在Telegram上伪装成你的同事、客户,甚至合作伙伴,发消息说“有紧急会议,速进!”还贴心地附上Calendly预约链接(看着挺正规吧?)。你一戳链接,页面立刻弹窗:“需更新Zoom才能参会”——域名长得像官网,细看却藏猫腻,比如support.us05web-zoom[.]forum(多拼了个字母forum)。 -
“更新包”里藏毒
下载的“Zoom更新”实际是个10,000行空白代码的AppleScript,末尾三行才是重点——静默下载病毒主程序NimDoor。这病毒用冷门语言Nim编写,能跨Windows/Mac/Linux运行,杀毒软件压根儿不认识它。 -
“杀不死”的复活术
最绝的是它的信号驱动持久化机制:你一旦试图关机或手动终止进程,病毒立刻触发SIGINT/SIGTERM信号,自动重装核心组件!越清理,它越顽固,安全团队都头疼。
二、 你的Telegram数据,正在裸奔!
别以为Telegram的“加密聊天”固若金汤——NimDoor专偷本地未加密的数据库!它干了啥?
- 精准定位数据库:扫描
~/Library/Group Containers/目录,找出Telegram本地存储的chat.db文件(默认存放所有聊天记录)。 - 窃取密钥块:同步盗取
encryption.key文件,理论上能解密部分非“秘密聊天”内容。 - 打包上传服务器:所有数据通过加密的
WSS协议(WebSocket Secure)传送到黑客控制的dataupload[.]store。
→ 想想看:商业机密、客户信息、甚至私密照片,都可能被黑客一览无遗!某加密公司员工就因中招,被远程转空钱包,损失220万美元。
三、 除了聊天记录,黑客还盯上你的“数字家当”
NimDoor的窃密脚本tlgrm和upl分工明确:
- 洗劫加密钱包:
- 扫描浏览器插件目录,盗取MetaMask、Exodus等钱包的密钥文件;
- 翻找
钥匙串和桌面文档,搜刮你明文保存的助记词、私钥备份。
- 扒光浏览器密码:
- 针对Chrome、Firefox、Edge等,窃取保存的银行账号、信用卡、邮箱密码。
→ 关键风险点:如果你在Telegram里聊过钱包助记词,或传过密钥文件——黑客直接“一锅端”!
四、 紧急自救!3招锁死NimDoor
✅ 第一招:识破钓鱼陷阱
- 域名验真身:真Zoom官网只有
zoom.us,假链接常掺拼写错误(如z00m-update.cc)。 - 警惕“紧急更新”:收到会议邀请先电话核实对方身份,别手快下载!
✅ 第二招:加固Mac防线
- 关闭安装权限:进入
系统设置→隐私与安全,勾选仅允许App Store和认证开发者。 - 开启文件保险箱(FileVault):全盘加密,即使电脑丢失数据也不泄露。
- 定期扫进程:打开“活动监视器”,搜索
CoreKitAgent或GoogIe LLC(注意拼写!),发现立刻强制退出。
✅ 第三招:给Telegram加“物理锁”
- 强制开启“秘密聊天”:端到端加密+不存本地,黑客挖空硬盘也找不到!
- 手动清理缓存:设置→隐私→清除所有缓存数据,每月清一次不留痕。
→ 个人观点:这次攻击揭穿了3个残酷真相
- “Mac很安全”是致命错觉:黑客只盯高价值目标,加密货币和Web3从业者早成“头号肥羊”。
- 冷门技术反成黑客利器:Nim语言因跨平台、难检测被滥用,未来这类“小众武器”只会更多。
- 你的安全意识是最后防线:再牛的杀毒软件,也拦不住你亲手点开“Zoom更新”。
记住: 黑客的套路永远在升级,但守住“不轻信、勤更新、敏感操作离线做”这三原则,你的数字资产就穿上了金钟罩!
免责声明: 文章源于会员发布,不作为任何投资建议
如有侵权请联系我们删除,本文链接:https://www.qc1039.com/wgzx/461.html