Kelompok peretas Korea Utara, Lazarus Group, kembali menebar ancaman di dunia siber. Kali ini, mereka mengadopsi teknik baru yang tidak hanya menargetkan pengguna kripto biasa tetapi juga para developer, menjadikannya ancaman yang semakin mengkhawatirkan.
Teknik Peretasan Baru Lazarus
Menurut penelitian Kirill Boychenko dan timnya dari perusahaan keamanan Socket, yang dirilis pada 11 Maret 2025, kampanye ini menyebarkan malware dan memasang backdoor. Serangan ini menargetkan pengembang serta pengguna dompet kripto seperti Solana dan Exodus.
“Lazarus Group terus menyusup ke ekosistem npm dengan menyebarkan enam paket berbahaya baru yang dirancang untuk merusak lingkungan developer, mencuri kredensial, mengekstrak data cryptocurrency, dan memasang backdoor,” jelas Boychenko.
Dalam serangan terbaru ini, para peneliti dari Socket menemukan malware BeaverTail yang disisipkan dalam packages yang tampak tidak berbahaya. Temuan ini mengungkap bahwa paket-paket berbahaya tersebut telah diunduh lebih dari 330 kali.
Lebih lanjut, kelompok peretas Korea Utara ini menggunakan teknik penamaan paket yang hampir menyerupai sumber asli. Strategi ini bertujuan untuk menipu developer agar tidak curiga saat mengunduhnya serta meningkatkan kemungkinan pemasangan tanpa disadari.
“Meniru secara erat nama library terpercaya, menggunakan taktik typosquatting yang dikenal luas dan sering digunakan oleh aktor ancaman terkait Lazarus Group untuk menipu para pengembang,” tulis Boychenko.
Selain itu, kelompok hacker juga membuat dan memelihara repositori GitHub untuk lima dari packages berbahaya tersebut. Langkah ini memberikan kesan legitimasi sebagai proyek open-source sekaligus meningkatkan kemungkinan kode berbahaya ini terintegrasi ke dalam alur kerja pengembang.
Mengungkap Cara Kerja Serangan Lazarus Group
Penelitian lebih lanjut terhadap kode berbahaya dalam npm packages ini mengungkap teknik obfuscation canggih yang digunakan oleh Lazarus Group untuk menghindari deteksi oleh sistem keamanan.
“Kode ini menggunakan self-invoking functions, dynamic function constructors, dan array shifting untuk menyamarkan fungsionalitas aslinya,” sebagaimana tercantum pada riset tersebut.
Setelah terinstal di lingkungan developer, malware akan mengumpulkan berbagai informasi, termasuk data lingkungan sistem, riwayat login browser (Chrome, Brave, Firefox), serta kunci enkripsi dari dompet kripto seperti Solana dan Exodus.
Kelompok peretas Korea Utara ini juga merancang sistem otomatis yang memungkinkan data yang telah dikumpulkan sebelumnya dikirim langsung ke server yang mereka kendalikan.
“Data yang dicuri kemudian melewati proses exfiltrated ke server C2 yang telah melewati tahap hardcoded di hxxp://172.86.84[.]38:1224/uploads, sesuai dengan strategi Lazarus yang terdokumentasi dengan baik dalam mengumpulkan dan mentransmisikan informasi yang telah dicuri,” ungkap tim peneliti Socket.
Tidak hanya itu saja, malware berbahaya ini juga mengunduh komponen tambahan bernama InvisibleFerret backdoor, yang memungkinkan Lazarus Group mendapatkan akses jangka panjang ke perangkat yang terinfeksi.
Teknik serangan yang dilakukan oleh kelompok hacker tersebut bersifat multi-stage, menunjukkan bahwa mereka tidak hanya ingin mencuri informasi secara instan, tetapi juga membangun kendali berkelanjutan terhadap target mereka.
Serangan Hacker yang Kian Mengkhawatirkan
Lazarus Group bukanlah nama baru dalam dunia kejahatan siber. Mereka telah lama beroperasi dengan berbagai teknik peretasan tingkat tinggi. Dilansir dari laporan sebelumnya, kelompok peretas Korea Utara ini bertanggung jawab atas pencurian aset bernilai miliaran dolar.
Memasuki awal 2025, kelompok hacker tersebut kembali mengguncang industri kripto dengan peretasan Bybit, yang menyebabkan platform tersebut mengalami kerugian besar dengan nilai lebih dari US$1,5 miliar.
Terungkap! Lazarus Group Ternyata Dalang di Balik Peretasan Bybit
Dalam operasinya, Lazarus kerap menggunakan berbagai teknik serangan, seperti eksploitasi smart contract, serangan phishing tingkat tinggi, serta pencucian dana melalui crypto mixer.
Namun, serangan terbaru mereka terhadap npm packages menandakan adanya pergeseran strategi—dari menyerang platform bursa kripto atau pengguna secara langsung menjadi menyusup ke rantai pasokan perangkat lunak (supply chain attack).
Pergeseran ini menunjukkan bahwa kelompok peretas Korea Utara tersebut kini berupaya menginfeksi sistem sejak tahap pengembangan, yang berpotensi memberikan dampak lebih luas dalam jangka panjang dan tentunya semakin berbahaya. [dp]