Arriva un contatto su LinkedIn: recruiter con profilo solido, azienda riconoscibile, posizione allettante. Poi l’invito a un colloquio tecnico su Zoom. A un certo punto della chiamata viene chiesto di installare un aggiornamento dello Zoom SDK. Il file si apre nel Script Editor di macOS, ha l’aspetto di qualcosa di ordinario.
Il malware è sepolto in fondo a migliaia di righe di codice, nessuno va a cercare nel mezzo di un colloquio… intanto lo script viene eseguito. E il Mac passa sotto il controllo di Sapphire Sleet, un gruppo hacker legato alla Corea del Nord.
Il malware che si nasconde in un falso aggiornamento Zoom durante un colloquio di lavoro
Microsoft Threat Intelligence ha scoperto e descritto la campagna in collaborazione con Apple. L’aspetto più insidioso è che l’attacco non sfrutta vulnerabilità software, ma la fiducia umana. Il recruiter è falso, il colloquio è falso, l’aggiornamento Zoom è falso. Ma tutto sembra autentico.
Il file malevolo è un AppleScript (.scpt) chiamato “Zoom SDK Update” che si apre nel Script Editor di macOS. A prima vista è innocuo. Il codice dannoso è nascosto dopo migliaia di righe di codice apparentemente normale. Una volta eseguito, scarica payload aggiuntivi usando meccanismi affidabili del sistema e traccia il progresso della campagna con stringhe user-agent specifiche.
Il malware lancia un’app chiamata “System Update” che mostra una finestra di dialogo che chiede la password di sistema per “configurare le impostazioni.” La finestra usa elementi nativi di macOS ed è a colpo d’occhio indistinguibile da un prompt legittimo secondo Microsoft. Una volta inserita la password, viene validata contro il database del sistema e immediatamente inviata a Sapphire Sleet tramite l’API di Telegram Bot.
Dopo il furto della password, l’attacco mostra un’app “Software Update” che simula il completamento dell’aggiornamento Zoom, eliminando qualsiasi sospetto. Infine, installa backdoor multiple per mantenere l’accesso persistente al Mac.
L’elenco dei dati esfiltrati è completo: informazioni sul sistema e le app installate, dati delle sessioni Telegram, dati del browser e delle estensioni, il portachiavi macOS (keychain), wallet di criptovaluta desktop, chiavi SSH e cronologia della shell, Apple Notes, log di sistema e tentativi di accesso falliti.
Chi è finito nel mirino
L’attacco è mirato a bersagli di alto valore, probabilmente professionisti tech e del settore crypto con Mac. La campagna richiede specificamente che il candidato usi hardware macOS durante il colloquio, si diffonde tramite profili recruiter falsi e raccoglie dati da wallet crypto. Non è un attacco di massa, è spionaggio selettivo.
La risposta di Apple
Microsoft ha informato Apple, che ha rafforzato l’infrastruttura di sicurezza di macOS e Safari. Microsoft ha aggiornato Defender per proteggere anche dagli attacchi di Sapphire Sleet e ha condiviso query XDR per i team di sicurezza aziendale.
La lezione per tutti: se un recruiter vi chiede di installare qualcosa durante un colloquio, fermatevi. Nessun colloquio legittimo richiede l’installazione di file non standard. E se qualcosa si apre nel Script Editor e ha migliaia di righe, non è un aggiornamento, è un’arma.
Ti potrebbe interessare
18 apr 2026