Kelompok Peretas Korea Utara Menggunakan Teknik Baru dalam Serangan Siber
Sebuah laporan dari tim Threat Intelligence Google mengungkapkan bahwa kelompok peretas asal Korea Utara kembali melancarkan serangan siber dengan metode yang inovatif. Mereka menggunakan teknologi blockchain untuk menyembunyikan kode berbahaya dalam smart contract, sehingga mampu melewati sistem deteksi dan mencuri aset kripto serta data pribadi korban.
Menurut laporan tersebut, para pelaku menggunakan metode bernama EtherHiding. Teknik ini memungkinkan mereka menyembunyikan malware di dalam smart contract blockchain agar tidak terdeteksi oleh sistem keamanan. Dengan demikian, mereka dapat mencuri aset digital maupun informasi sensitif dari korban tanpa meninggalkan jejak transaksi yang mudah dilacak.
Kelompok peretas ini dikenal dengan nama sandi UNC5342. Menurut Google, mereka mulai menggunakan teknik ini sejak Februari 2025 dalam kampanye bernama Contagious Interview. Skema serangan ini mirip dengan operasi Dream Job yang sebelumnya dilakukan oleh grup Lazarus, yang menipu pencari kerja melalui lowongan palsu. Namun, kali ini target utamanya adalah pengembang perangkat lunak, terutama yang bekerja di bidang teknologi dan kripto.
Para peretas berpura-pura menjadi perekrut dari perusahaan ternama melalui LinkedIn atau situs lowongan kerja lain. Setelah berhasil membangun kepercayaan, mereka mengajak korban beralih ke komunikasi melalui Telegram atau Discord. Di sana, mereka mengirimkan tes pemrograman palsu berupa file yang ternyata berisi malware.
Proses infeksi dimulai dengan downloader awal yang diunggah di repositori npm. File ini kemudian akan mengunduh malware tahap kedua seperti BEAVERTAIL atau JADESNOW. Kedua malware ini dirancang untuk mencuri dompet kripto, data ekstensi browser, serta kredensial login pengguna.
Yang membuat serangan ini lebih berbahaya adalah penggunaan JADESNOW yang memanfaatkan EtherHiding. Malware ini bisa mengambil dan mengeksekusi muatan berbahaya dari smart contract di jaringan BNB Smart Chain dan Ethereum. Dari sini, sistem korban disusupi kembali oleh backdoor bernama INVISIBLEFERRET, yang memberi akses jarak jauh dan kendali penuh kepada peretas.
INVISIBLEFERRET, yang berbasis JavaScript dengan komponen tambahan Python, memungkinkan pelaku untuk memata-matai aktivitas pengguna, mencuri aset digital, hingga berpindah ke jaringan internal perusahaan. Berbeda dengan server pusat biasa, blockchain bersifat terdesentralisasi sehingga sulit dimatikan atau dilacak oleh aparat penegak hukum.
Dengan EtherHiding, peretas bisa menyembunyikan kode berbahaya di dalam smart contract dan mengambil data lewat read-only call tanpa meninggalkan jejak transaksi. Peneliti Google Blas Kojusner, Robert Wallace, dan Joseph Dobson menyebutkan bahwa EtherHiding menandai pergeseran ke arah bentuk bulletproof hosting generasi baru, di mana fitur bawaan blockchain justru dimanfaatkan untuk tujuan jahat.
Google merekomendasikan beberapa langkah mitigasi untuk mengurangi risiko serangan ini. Salah satunya adalah memblokir unduhan berbahaya dengan membatasi jenis file seperti .exe, .msi, .bat, dan .dll. Selain itu, administrator sistem disarankan untuk memblokir akses ke situs atau node blockchain yang berisiko tinggi. Penerapan kebijakan safe browsing yang memanfaatkan real-time threat intelligence juga penting untuk memperingatkan pengguna terhadap situs phishing dan file mencurigakan.
Dengan metode EtherHiding ini, serangan siber berbasis blockchain diperkirakan akan semakin sulit diberantas. Teknologi yang awalnya dirancang untuk keamanan dan transparansi kini dimanipulasi menjadi alat kejahatan digital. Hal ini menunjukkan betapa pentingnya kesadaran dan tindakan pencegahan dalam menghadapi ancaman siber yang terus berkembang.
