网络安全研究人员发现针对Web3和加密货币平台的新型信窃新型macOS恶意软件活动，其采用的意软用进技术手段在苹果生态系统中极为罕见 。这款被命名为NimDoor的程注程通匙串恶意软件通过进程注入能力和加密WebSocket通信窃取敏感用户凭证与金融数据 ，标志着macOS威胁的入远显著升级。

攻击始于典型的取钥社交工程手段 ：朝鲜黑客组织通过Telegram冒充可信联系人安排虚假商务会议
。建站模板受害者会收到伪造的凭证Zoom会议邀请，附带要求从攻击者控制的新型信窃域名（如support.us05web-zoom[.]forum）下载并执行名为"Zoom SDK更新脚本"的恶意文件 ，这些域名刻意模仿Zoom官方基础设施。意软用进

该恶意软件区别于普通macOS威胁的程注程通匙串核心在于其技术复杂性和多层架构 。SentinelOne分析团队发现，源码库入远攻击者利用通常为调试工具保留的取钥系统权限（entitlements），在macOS上实施罕见的凭证进程注入技术。这种手法使恶意代码能够植入合法进程
，新型信窃既增强隐蔽性又规避传统检测机制。意软用进

攻击链采用多种编程语言编写的程注程通匙串组件：AppleScript负责初始访问
，C++实现进程注入
，亿华云而核心功能则由Nim语言编译的二进制文件完成。这种技术组合表明攻击者致力于开发能有效入侵现代macOS系统、同时难以分析检测的复杂工具。

恶意软件最具创新性的特性是其持久化机制——前所未有地利用了macOS信号处理功能。香港云服务器NimDoor没有采用LaunchAgents或Login Items等传统方法 ，而是通过监控系统信号维持驻留。其CoreKitAgent组件为SIGINT（中断信号）和SIGTERM（终止信号）建立处理程序  ，有效拦截终止恶意进程的尝试 。

当用户或系统试图通过标准方法终止恶意软件时
，这些信号处理程序会被触发，使进程无法正常退出。云计算此时恶意软件会借机重新安装自身
：将LaunchAgent写入~/Library/LaunchAgents/com.google.update.plist，并复制组件文件确保系统重启后仍能保持持久化。该机制通过以下代码实现：

登录或重启激活持久化机制后的执行链（来源 ：SentinelOne）

恶意软件通过WebSocket Secure(wss)协议与命令控制服务器wss://firstfromsep[.]online/client通信
，采用RC4加密与base64编码的多层保护。该加密通道用于外泄窃取的钥匙串（Keychain）凭证、Chrome/Firefox等主流浏览器的服务器租用数据以及Telegram聊天记录，同时有效规避网络监控工具的检测。