Netcrook Logo
👤 CRYSTALPROXY
🗓️ 18 Apr 2026   🌍 Asia

Hacker nordcoreani dirottano la fiducia: la micidiale trappola del “Zoom SDK” che prende di mira gli utenti macOS

L’astuta campagna di social engineering di Sapphire Sleet arma finte offerte di lavoro e aggiornamenti fasulli per rubare credenziali, criptovalute e controllo agli utenti di dispositivi Apple in tutto il mondo.

Per anni, gli utenti macOS sono stati cullati in un falso senso di sicurezza, confidando che le protezioni “a prova di fortezza” di Apple avrebbero tenuto i cybercriminali a distanza. Ma una nuova e inquietante campagna, rivelata da Microsoft Threat Intelligence, mostra quanto facilmente la fiducia umana possa essere trasformata in un’arma - anche sulle piattaforme considerate più “sicure” al mondo. Hacker nordcoreani sponsorizzati dallo Stato, operativi con il nome in codice Sapphire Sleet, stanno aggirando le difese tecniche non con zero-day, ma con manipolazione psicologica e un finto “Zoom SDK Update” diabolico e incredibilmente convincente.

L’anatomia dell’inganno: come Sapphire Sleet supera in astuzia le difese di macOS

A differenza dei cyberattacchi tradizionali che sfruttano bug del software, questa campagna fa leva sulla fiducia umana. Gli aggressori si presentano inizialmente come recruiter su LinkedIn o reti simili, prendendo di mira professionisti in settori ad alto valore come criptovalute e finanza. Dopo aver costruito un rapporto attraverso finti colloqui, alle vittime viene chiesto di installare quello che sembra un legittimo aggiornamento dello Zoom SDK - distribuito come file denominato “Zoom SDK Update.scpt”.

Questo file è in realtà un AppleScript compilato, progettato per avviarsi nell’Editor Script di Apple. Lo script maschera abilmente le proprie intenzioni: si apre con un blocco di istruzioni di aggiornamento dall’aspetto innocuo, seguito da migliaia di righe vuote che seppelliscono il vero codice malevolo. Una volta eseguito, scarica silenziosamente componenti malware aggiuntivi, usando strumenti da riga di comando fidati come curl, e li esegue in memoria per evitare il rilevamento.

La catena di infezione è multilivello. Vengono rilasciate backdoor con nomi pensati per imitare processi di sistema (come com.apple.cli o com.google.chrome.updaters) e configurate per persistere anche dopo i riavvii. Un’applicazione fasulla, “systemupdate.app”, inganna gli utenti inducendoli a inserire la password di macOS, che viene rubata e inviata direttamente agli hacker tramite Telegram. Il malware quindi esfiltra dati sensibili: credenziali del browser, sessioni Telegram, chiavi SSH, Note di Apple e, soprattutto, dati dei wallet di criptovalute.

Per rafforzare ulteriormente la presa, gli aggressori manipolano il database Transparency, Consent, and Control (TCC) di macOS, concedendosi permessi per compiere ulteriori azioni malevole senza allertare la vittima. Il malware comunica con server remoti, esfiltra dati e mantiene un accesso di lungo periodo alle macchine compromesse.

Microsoft e Apple hanno risposto aggiornando le firme di XProtect e le protezioni di Safe Browsing, ma queste misure possono fare solo fino a un certo punto. L’attacco riesce non per una falla tecnica, ma perché gli utenti vengono convinti a superare il proprio scetticismo ed eseguire da soli file malevoli.

Conclusione: il firewall umano è ormai l’anello più debole

La campagna di Sapphire Sleet è un campanello d’allarme: nessun sistema è immune se gli aggressori riescono a manipolare l’utente. Mentre il social engineering sostituisce gli zero-day come arma preferita, organizzazioni e individui - soprattutto in ambito crypto e finanza - devono raddoppiare gli sforzi su vigilanza, verifica e consapevolezza della sicurezza. La battaglia per i tuoi asset digitali potrebbe non combatter-si più nel codice, ma nella zona grigia della fiducia e dell’inganno.

TECHCROOK

Bitdefender Antivirus for Mac è una soluzione di sicurezza pensata per macOS utile contro campagne come quella del falso “Zoom SDK Update”, dove l’utente viene indotto a eseguire script e installer malevoli. Offre protezione in tempo reale contro malware e trojan, scansione on-demand di file e download, rilevamento di comportamenti sospetti e blocco di componenti persistenti che imitano processi di sistema. Integra inoltre funzioni anti-phishing per ridurre il rischio di furto credenziali durante finti colloqui o pagine di aggiornamento, e strumenti di controllo della privacy per limitare esposizione di dati sensibili. È indicato per professionisti che gestiscono wallet crypto e account ad alto valore su Mac. Il prodotto è disponibile su diversi canali e si può acquistare anche su Amazon.

Bitdefender Antivirus for Mac è disponibile su diversi canali e si può acquistare anche su Amazon.

WIKICROOK

  • Social engineering: Il social engineering è l’uso dell’inganno da parte degli hacker per indurre le persone a rivelare informazioni riservate o a fornire accesso non autorizzato ai sistemi.
  • AppleScript: AppleScript è un linguaggio di scripting di macOS per automatizzare attività, ma può anche essere abusato dal malware per eseguire comandi nascosti o non autorizzati.
  • Persistence: La persistenza comprende tecniche usate dal malware per sopravvivere ai riavvii e restare nascosto nei sistemi, spesso imitando processi o aggiornamenti legittimi.
  • Command: Un comando è un’istruzione inviata a un dispositivo o a un software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • TCC database: Il database TCC in macOS controlla i permessi delle app per l’accesso ai dati sensibili dell’utente, contribuendo a proteggere la privacy e a far rispettare le policy di sicurezza.
North Korean hackers social engineering macOS security
CRYSTALPROXY CRYSTALPROXY
Secure Routing Analyst
← Back to news