Une simple invitation à une visioconférence peut parfois cacher bien plus qu’un échange professionnel. Des experts en cybersécurité alertent sur une nouvelle attaque ciblée sur les utilisateurs de Mac, et plus particulièrement ceux qui évoluent dans l’univers de la cryptomonnaie. Derrière un appel Zoom anodin se dissimule un virus furtif, capable de siphonner vos données les plus sensibles.
Une attaque bien rodée qui cible les pros de la crypto
Tout commence sur Telegram, un canal prisé des communautés tech… mais aussi des cybercriminels. Des pirates, que les experts soupçonnent d’être liés à la Corée du Nord, entrent en contact avec leur cible via la messagerie. Une fois la confiance établie, ils organisent une fausse réunion via l’outil Calendly, pour ensuite convaincre leur interlocuteur de télécharger une prétendue mise à jour Zoom.
Sauf qu’au lieu d’un vrai logiciel, l’utilisateur installe un programme infecté, capable de contourner les protections classiques de macOS. Ce malware, baptisé NimDoor, ne ressemble à aucun autre : il est écrit en Nim, un langage de programmation peu utilisé dans le domaine malveillant, ce qui lui permet de passer sous les radars d’Apple.
Une fois installé, il aspire tout
Le virus ne se contente pas de s’installer discrètement. Une fois actif, il se met à fouiller dans les fichiers du système à la recherche de mots de passe enregistrés dans les navigateurs, de données Telegram et surtout des fichiers liés aux portefeuilles de cryptomonnaies.
Pire encore, il installe un agent de démarrage, qui recharge le malware à chaque ouverture de session et peut télécharger d’autres outils d’espionnage. Pour les professionnels de la crypto, c’est un risque majeur de vol de fonds ou de données critiques.
D’après SentinelLabs, la société qui a découvert l’attaque, les signatures de sécurité intégrées à macOS ne détectent pas encore NimDoor. Cela laisse une fenêtre de vulnérabilité particulièrement dangereuse pour les utilisateurs non avertis.
Des recommandations pour se protéger efficacement
Les experts recommandent aux entreprises du secteur crypto — mais aussi aux utilisateurs avertis — de prendre des mesures immédiates :
- Bloquer l’installation de paquets non signés sur les machines.
- Vérifier systématiquement les mises à jour de Zoom depuis le site officiel (zoom.us).
- Contrôler les contacts récents dans Telegram, en particulier ceux qui incitent à télécharger des fichiers exécutables.
Ce type d’attaque par ingénierie sociale n’est pas nouveau, mais la sophistication de NimDoor et sa capacité à contourner les protections actuelles en fait une menace particulièrement sérieuse pour le milieu crypto.
Une stratégie de piratage bien huilée
Ce nouvel épisode s’inscrit dans une stratégie plus large. Selon TRM Labs, les groupes liés à la Corée du Nord auraient dérobé 1,6 milliard de dollars en cryptomonnaie au cours du premier semestre 2025. Une somme astronomique, dont 1,5 milliard proviendrait d’un seul piratage, celui de la plateforme Bybit en février dernier.
Et ce n’est pas tout : selon le ministère de la Justice américain, plusieurs opérations récentes auraient été menées par des agents se faisant passer pour des citoyens américains. Un développeur nord-coréen aurait même été recruté par inadvertance au sein de l’équipe de maintenance du réseau Cosmos, révélant à quel point ces attaques peuvent être infiltrées et subtiles.
Conclusion : Dans un écosystème aussi volatil que celui de la crypto, la sécurité ne peut plus être une option. Cette attaque, aussi discrète que dangereuse, montre que même un Mac n’est pas à l’abri. Une vigilance accrue, une politique de sécurité rigoureuse et une méfiance vis-à-vis des mises à jour douteuses sont plus que jamais indispensables.