2025年7月2日、SentinelLabsが公開した調査レポートによると、北朝鮮の関与が疑われるサイバー攻撃グループが、macOSを対象とした高度なマルウェア「NimDoor」を用いて、Web3関連企業や暗号資産業界を中心に標的型攻撃を展開していることが判明しました
目次
感染までの流れ:誰でも引っかかる可能性のある“日常”の演出
攻撃の起点は非常に“ありふれた”パターンで、Zoom SDK装ったAppleScriptを実行させようとします。
-
AppleScript信頼できる連絡先に偽装したTelegramやメールでソーシャルエンジニアリング 手法で接触:「Zoomミーティングの予定」などを装い、Calendlyリンクを送付。
-
「Zoom SDK更新」と称するAppleScriptを被害者に実行させる。これが感染の起点。
-
スクリプトが攻撃者のサーバーと通信し、第2段階のマルウェアをダウンロード。
この段階で、すでにmacOS内に複数のバイナリやスクリプトが展開され、情報の窃取や遠隔操作が可能になります。
感染後は水面下で静かに“第2段階”が進行
ユーザーがZOOMに偽装したスクリプトを実行すると、攻撃者のサーバーから複数のマルウェアファイルがmacOS内にダウンロードされます。主なファイルは以下のとおりです。
-
a(C++製):暗号化されたマルウェア本体を展開・実行 -
installer(Nim製):永続化処理を担当 -
GoogIe LLC、CoreKitAgent:常駐・通信処理を担当(※Google LLCと誤認させる偽装)
これらは、~/Library/Application Support や ~/Library/CoreKit など、普段見慣れているmacOSのシステムパス内に設置され、存在を隠します。
「削除しても復活する」しぶとすぎる永続化の仕組み
このマルウェアが厄介なのは、ユーザーが意図的にプロセスを終了させた場合にこそ、永続化が実行される点です。
-
システムの
SIGINT(Ctrl+C)やSIGTERM(killコマンド)を検知すると、-
GoogIe LLCとCoreKitAgentを再配置 -
com.google.update.plistとしてLaunchAgentに登録 -
再ログイン時に自動再実行
-
つまり、「止めよう/削除とする動作」がかえって復元を呼ぶという構造になっており、一般的なアンチウイルスソフトやスクリプト削除では駆除しきれません。
感染してから気づけない、“静かな常駐”の怖さ
さらなる特徴として、攻撃者はAppleScriptを使ってmacOSの内部情報を30秒ごとにC2サーバーへ送信する常駐型バックドアを仕込んでいます。
このスクリプトは、.sesというファイルに暗号化・難読化された状態で保存され、見た目には何の変哲もないように動作します。
これにより、攻撃者は以下のような操作が可能になります。
-
被害者のプロセス一覧の把握
-
任意コマンドの実行
-
攻撃コードの再ダウンロード
まとめ:macユーザーも“想定外”は通じない時代
今回のNimDoor攻撃で明らかになったのは、「macは大丈夫」という油断がもはや通用しないという現実です。
-
誘導文面は自然で、誰でも騙されうる
-
永続化は巧妙で、削除後も生き残る
-
通信はwss(暗号化WebSocket)経由で隠密
macユーザーでも「いつものやり取り」から侵入される可能性があることを、改めて認識する必要があります。
参照
関連記事
ZOOMが深刻度の高い脆弱性を修正(CVE-2024-39825)
JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響
台湾・日本を標的とする新たなサイバー攻撃 キャンペーン「Swan Vector」
Java ライブラリの脆弱性でパストラバーサル攻撃が可能に(CVE-2025-0851)
期限切れの悪意のあるドメインを利用して、4,000件以上のバックドアへ侵入
偽のMac版 Microsoft Teamsがマルウェアを配信
セキュリティホールとは?
全Webトラフィックの51%がbot。AIが支える「悪性bot」の進化と企業への影響
サイバー攻撃の事例 【2024年】
