Pencari Kerja Kripto India Hadapi Ancaman Malware Baru dari Peretas Terkait Korea Utara

Peretas yang terkait dengan negara Korea Utara menargetkan profesional mata uang kripto di India dengan kampanye malware baru dan sangat bertarget, menurut perusahaan keamanan siber Cisco TalosPara penyerang, yang diidentifikasi sebagai kelompok yang dikenal sebagai Chollima yang terkenal, menggunakan wawancara kerja palsu dan situs web pengujian keterampilan palsu untuk menginfeksi perangkat pengguna dengan Trojan Akses Jarak Jauh (RAT) berbasis Python baru yang dijuluki Hantu Pylang.

Operasi ini, yang aktif sejak pertengahan 2024, menandai babak terbaru dalam upaya spionase kripto Korea Utara yang semakin meluas. Peneliti Cisco Talos mengungkapkan bahwa para penyerang menyamar sebagai perekrut untuk perusahaan kripto ternama seperti Coinbase, Tidak bertukar tempat, Robinhood, dan Archblock. Sasaran utama mereka: insinyur perangkat lunak, profesional pemasaran, dan spesialis lain dalam blockchain dan aset digital.

Godaan Pekerjaan dan Wawancara Palsu

Kampanye ini dimulai dengan rekayasa sosial. Korban dihubungi oleh perekrut yang diduga dan diundang untuk mengunjungi replika halaman karier perusahaan yang sah. Situs-situs ini menampilkan tes penilaian keterampilan dan meminta informasi sensitif seperti nama lengkap, resume, alamat dompet, dan kredensial.

Kandidat kemudian diinstruksikan untuk mengaktifkan akses kamera dan mikrofon untuk wawancara video. Selama fase ini, perekrut palsu meminta korban untuk menjalankan perintah tertentu—yang disamarkan sebagai instalasi driver video—yang memicu instalasi Hantu Pylang malware.

Cisco Talos mengonfirmasi bahwa RAT memberi peretas kendali jarak jauh penuh atas sistem yang terinfeksi dan mampu mencuri kredensial dan cookie dari lebih dari 80 ekstensi browser. Ekstensi tersebut termasuk pengelola kata sandi yang banyak digunakan dan dompet mata uang kripto seperti MetaMask, 1Password, NordPass, Phantom, TronLink, dan MultiverseX.

Malware Canggih dengan Akses Berkelanjutan

PylangGhost adalah evolusi berbasis Python dari ancaman yang diketahui sebelumnya yang disebut Hantu GolangVarian baru ini menargetkan Sistem Windows secara eksklusif, dan dirancang untuk mencuri data dan mempertahankan akses terus-menerus ke mesin yang disusupi. Sistem Linux, menurut Cisco Talos, tampaknya tidak tersentuh dalam gelombang serangan ini.

Malware ini dapat menjalankan berbagai perintah: mengambil tangkapan layar, mengumpulkan detail sistem, mengelola berkas, dan membuat kendali jarak jauh yang berkelanjutan. Malware ini beroperasi melalui beberapa server perintah dan kendali yang terdaftar di bawah domain yang tampak kredibel, seperti quickcamfix.online or autodriverfix.online.

Berbeda dengan penipuan sebelumnya, kampanye ini tidak berfokus pada penipuan massal atau pencurian langsung dari bursa. Sebaliknya, ini adalah serangan bedah yang ditujukan kepada para profesional di dalam sektor kripto, mereka yang memiliki akses ke infrastruktur utama, peralatan internal, dan data sensitif.

India: Target Bernilai Tinggi

India, salah satu pusat pengembangan blockchain yang paling pesat perkembangannya, telah menjadi target utama. Banyak profesional yang bekerja pada platform kripto global bermarkas di negara tersebut, dan strategi baru ini secara langsung berperan dalam konsentrasi bakat tersebut.

Menurut Dileep Kumar HV, direktur Digital South Trust, India membutuhkan reformasi mendesak untuk menghadapi jenis ancaman ini. Ia menyerukan audit keamanan siber wajib untuk perusahaan blockchain, peningkatan pemantauan portal pekerjaan palsu, dan reformasi hukum di bawah Undang-Undang TI India.

Temukan Proyek yang Menjanjikan...

Proyek yang Menjanjikan...

Artikel berlanjut...

Ia juga mendesak lembaga pemerintah seperti CERT-Masuk, MEITASI, dan NCIIPC untuk meningkatkan kolaborasi dan meluncurkan kampanye kesadaran publik, serta berbagi intelijen dengan yurisdiksi lain.

Pola Spionase Digital yang Berkembang

Tawaran pekerjaan palsu telah menjadi alat yang konsisten dalam taktik siber Korea Utara. Grup Lazarus, kelompok peretas lain yang terkait dengan Korea Utara, menggunakan taktik serupa pada awal tahun 2024. Mereka dibuat perusahaan palsu berbasis AS seperti BlokNovas LLC dan Perusahaan SoftGlide untuk memikat pengembang kripto ke dalam wawancara yang memuat malware.

Dalam satu insiden, peretas Lazarus menyamar sebagai mantan kontraktor untuk membobol Radiant Capital, yang mengakibatkan kerugian sebesar $50 juta. Sebuah pernyataan bersama dari Jepang, Korea Selatan, dan AS baru-baru ini mengonfirmasi bahwa Kelompok yang terkait dengan Korea Utara mencuri $659 juta dalam bentuk kripto di 2024 saja

Kampanye-kampanye ini bukan hanya tentang pencurian. Kampanye-kampanye ini semakin ditujukan untuk mengumpulkan informasi intelijen dan menyusup ke perusahaan-perusahaan kripto dari dalam. Tujuan utamanya tampaknya adalah keuntungan finansial dan kendali strategis atas sistem dan data blockchain.

Tindakan Penanggulangan dan Jalan ke Depan

Laporan Cisco Talos merupakan peringatan bagi para profesional di sektor kripto. Perusahaan tersebut menyarankan agar lebih waspada selama proses pencarian kerja, terutama saat berinteraksi dengan platform baru, perekrut yang tidak dikenal, atau URL yang tidak dikenal.

Para profesional disarankan untuk:

• Hindari menginstal perangkat lunak atau menjalankan perintah selama wawancara kerja.
• Verifikasi keabsahan perusahaan dan perekrut.
• Gunakan perlindungan titik akhir dan alat anti-malware.
• Perbarui kata sandi secara teratur dan aktifkan autentikasi dua faktor.

Perusahaan juga harus memperketat kontrol internal dan memastikan staf dilatih untuk mengenali dan melaporkan upaya rekayasa sosial.