Cisco Talos melaporkan bahwa kelompok peretas Korea Utara bernama “Famous Chollima” telah memfokuskan serangan pada pelamar kerja kripto di India. Kelompok ini nampaknya tidak memiliki hubungan langsung dengan Lazarus.
Saat ini, sulit untuk menentukan apakah upaya ini adalah pencurian kecil-kecilan atau persiapan awal untuk serangan yang lebih besar. Pencari kerja di industri kripto harus berhati-hati ke depannya.
Peretasan Aset Kripto Korea Utara Berlanjut
Grup Lazarus Korea Utara memiliki reputasi yang menakutkan dalam kejahatan kripto, melakukan peretasan terbesar dalam sejarah industri. Namun, ini bukan satu-satunya usaha kriminal Web3 negara tersebut, karena Korea Utara memiliki kehadiran besar di DeFi.
Cisco Talos mengidentifikasi beberapa aktivitas kriminal terbaru di India yang mengambil pendekatan berbeda terhadap pencurian kripto:
Laporan menunjukkan bahwa Famous Chollima bukanlah hal baru; kelompok ini telah beroperasi sejak pertengahan 2024 atau lebih awal. Dalam beberapa insiden terbaru, peretas Korea Utara telah mencoba menyusup ke perusahaan kripto AS seperti Kraken dengan melamar lowongan pekerjaan yang tersedia.
Famous Chollima melakukan sebaliknya, memancing pekerja potensial dengan aplikasi palsu.
“Kampanye ini mencakup… membuat iklan pekerjaan palsu dan halaman uji keterampilan. Dalam yang terakhir, pengguna diinstruksikan untuk menyalin dan menempelkan baris perintah berbahaya untuk menginstal driver yang diperlukan untuk tahap uji keterampilan akhir. [Pengguna yang terkena dampak] sebagian besar berada di India,” klaim perusahaan tersebut.
Di samping reputasi menakutkan Lazarus, upaya phishing Famous Chollima tampak jauh lebih ceroboh. Cisco mengklaim bahwa aplikasi palsu kelompok ini selalu meniru perusahaan kripto terkenal.
Umpan ini tidak menggunakan branding asli dari perusahaan-perusahaan tersebut, menanyakan pertanyaan yang hampir tidak relevan dengan pekerjaan yang dimaksud.
Menelan Umpan
Korban dipancing melalui situs rekrutmen palsu yang menyamar sebagai perusahaan teknologi atau kripto terkenal. Setelah mengisi aplikasi, mereka diundang untuk wawancara video.
Selama proses ini, situs meminta mereka menjalankan instruksi baris perintah—yang diklaim untuk menginstal driver video—yang sebenarnya mengunduh dan menginstal malware.
Setelah terinstal, PylangGhost memberikan penyerang kendali penuh atas sistem korban. Ini mencuri kredensial login, data browser, dan informasi wallet kripto, menargetkan lebih dari 80 ekstensi populer seperti MetaMask, Phantom, dan 1Password.
Baru-baru ini, setelah menggagalkan serangan malware, BitMEX mengklaim bahwa Lazarus menggunakan setidaknya dua tim: tim berkemampuan rendah untuk awalnya menembus protokol keamanan dan tim berkemampuan tinggi untuk melakukan pencurian selanjutnya. Mungkin ini adalah praktik umum dalam komunitas peretas Korea Utara.
Sayangnya, sulit untuk membuat kesimpulan yang pasti tanpa berspekulasi. Apakah Korea Utara ingin meretas pelamar ini untuk lebih baik menyamar sebagai pencari kerja di industri kripto?
Pengguna harus berhati-hati terhadap tawaran pekerjaan yang tidak diminta, menghindari menjalankan perintah yang tidak dikenal, dan mengamankan sistem mereka dengan perlindungan endpoint, MFA, dan pemantauan ekstensi browser.
Selalu verifikasi keabsahan portal rekrutmen sebelum membagikan informasi sensitif apa pun.
