Serangan siber yang berasal dari Korea Utara kembali menyasar industri kripto. Dalam laporan yang dipublikasikan pada Rabu (18/06), Cisco Talos mengungkap bahwa peretas yang berafiliasi dengan Korut kini menggunakan taktik baru: memanfaatkan situs loker palsu untuk menyebarkan malware dan mencuri data dari para pencari kerja.
“Berdasarkan posisi yang diiklankan, terlihat jelas bahwa Famous Chollima secara luas menargetkan individu yang memiliki pengalaman sebelumnya di bidang teknologi kripto dan juga blockchain,” tulis mereka dalam blog resminya.
Peretas Korea Utara tersebut menyebarkan malware jenis Remote Access Trojan (RAT) berbasis Python yang diberi nama PylangGhost. Malware ini dirancang khusus untuk mencuri kredensial dompet kripto serta informasi dari pengelola password.
Modus Baru: Rekrutmen dan Interview Palsu
Target utama dari serangan malware PylangGhost adalah individu yang memiliki pengalaman di industri blockchain dan kripto, terutama yang berada di India. Kelompok hacker memulai aksinya melalui rekrutmen palsu yang mengatasnamakan perusahaan ternama seperti Coinbase, Robinhood, dan Uniswap.
Para korban dihubungi oleh “rekruter” palsu dan diminta mengikuti proses seleksi melalui situs lowongan kerja palsu yang menyerupai platform resmi. Langkah-langkahnya dirancang seolah-olah merupakan proses rekrutmen profesional, termasuk sesi wawancara daring.
Dalam wawancara palsu tersebut, korban diarahkan untuk mengaktifkan akses kamera dan video. Korban kemudian diminta menyalin dan menjalankan perintah di komputer mereka, yang disebut sebagai pembaruan driver. Nyatanya, perintah itu justru mengunduh dan menjalankan malware PylangGhost.
Setelah aktif, malware ini memberikan akses jarak jauh kepada pelaku untuk mengendalikan perangkat korban. Selain itu, PylangGhost dapat mencuri cookies, mengakses kredensial dari lebih 80 ekstensi browser, termasuk wallet crypto dan pengelola kata sandi seperti MetaMask, 1Password, NordPass, Phantom, TronLink, dan lainnya.
Tidak hanya itu, malware ini juga dapat mengambil tangkapan layar, mengelola file, memantau aktivitas, dan mengumpulkan informasi sensitif lainnya. Kemampuan serbaguna ini menjadikan PylangGhost sebagai ancaman serius, terutama bagi pengguna kripto.
Ancaman Malware yang Terus Berkembang
Meski metode penipuan dengan kedok lowongan kerja bukan hal baru, skema yang digunakan Famous Chollima terbilang semakin canggih dan berbahaya. Dalam beberapa kasus sebelumnya, modus serupa bahkan telah menargetkan eksekutif tingkat tinggi dan menyasar berbagai perusahaan.
Berdasarkan struktur programnya, Cisco Talos menyebutkan bahwa tidak ditemukan indikasi penggunaan AI dalam pembuatan malware PylangGhost. Hal ini menunjukkan bahwa hacker mengandalkan keterampilan manual dalam mengembangkan serangan mereka.
Serangan ini menjadi pengingat serius bagi para profesional di industri kripto untuk selalu waspada terhadap tawaran kerja yang mencurigakan. Dunia kripto kini bukan hanya soal investasi, tapi juga soal keamanan yang tak boleh diabaikan. [dp]