Peretas Korea Utara kini menggunakan metode berbasis blockchain yang dikenal sebagai EtherHiding untuk mengirimkan malware guna memfasilitasi operasi pencurian kripto mereka. Menurut para ahli, seorang peretas Korea Utara ditemukan menggunakan metode ini, di mana penyerang menanamkan kode seperti JavaScript Payloads di dalam kontrak pintar berbasis blockchain.
Dengan menggunakan metode ini, para peretas mengubah buku besar terdesentralisasi menjadi command-and-control (C2) yang tangguh. Menurut postingan blog yang diterbitkan oleh Google Threat Intelligence Group (GTIG), ini adalah pertama kalinya mereka mengamati aktor dengan skala ini menggunakan metode tersebut. Mereka menyatakan bahwa penggunaan EtherHiding sangat nyaman dalam menghadapi upaya penghapusan dan pemblokiran konvensional. Kelompok intelijen ancaman tersebut menyebutkan bahwa mereka telah melacak aktor ancaman UNC5342 sejak Februari 2025, mengintegrasikan EtherHiding ke dalam kampanye rekayasa sosial yang sedang berlangsung.
Peretas Korea Utara beralih ke EtherHiding
Google menyebutkan bahwa mereka telah menghubungkan penggunaan EtherHiding dengan kampanye rekayasa sosial yang dilacak oleh Palo Alto Networks sebagai Contagious Interview. Contagious Interview dilakukan oleh aktor Korea Utara. Menurut peneliti Socket, kelompok tersebut memperluas operasinya dengan loader malware baru, XORIndex. Loader tersebut telah mengakumulasi ribuan unduhan, dengan target pencari kerja dan individu yang diyakini memiliki aset digital atau kredensial sensitif.
Dalam kampanye ini, peretas Korea Utara menggunakan malware JADESNOW untuk mendistribusikan varian JavaScript dari INVISIBLEFERRET, yang telah digunakan untuk melakukan banyak pencurian mata uang kripto. Kampanye ini menargetkan pengembang di industri kripto dan teknologi, mencuri data sensitif, aset digital, dan mendapatkan akses ke jaringan perusahaan. Kampanye ini juga berpusat pada taktik rekayasa sosial yang meniru proses rekrutmen sah menggunakan perekrut palsu dan perusahaan rekaan.
Perekrut palsu digunakan untuk memikat kandidat ke platform seperti Telegram atau Discord. Setelah itu, malware kemudian dikirimkan ke sistem dan perangkat mereka melalui tes pengkodean palsu atau unduhan perangkat lunak yang disamarkan sebagai penilaian teknis atau perbaikan wawancara. Kampanye ini menggunakan proses infeksi malware multi-tahap, yang biasanya melibatkan malware seperti JADESNOW, INVISIBLEFERRET, dan BEAVERTAIL, untuk mengkompromikan perangkat korban. Malware tersebut memengaruhi sistem Windows, Linux, dan macOS.
Peneliti merinci kekurangan EtherHiding
EtherHiding memberikan keuntungan yang lebih baik bagi penyerang, dengan GTIG mencatat bahwa ini bertindak sebagai ancaman yang sangat sulit untuk dimitigasi. Salah satu elemen inti EtherHiding yang mengkhawatirkan adalah sifatnya yang terdesentralisasi. Ini berarti bahwa ia disimpan pada blockchain yang tanpa izin dan terdesentralisasi, membuatnya sulit bagi penegak hukum atau perusahaan keamanan siber untuk menghentikannya karena tidak memiliki server pusat. Identitas penyerang juga sulit dilacak karena sifat pseudonim dari transaksi blockchain.
Juga sulit untuk menghapus kode berbahaya dalam kontrak pintar yang digunakan pada blockchain jika Anda bukan pemilik kontrak tersebut. Penyerang yang mengendalikan kontrak pintar, dalam hal ini peretas Korea Utara, juga dapat memilih untuk memperbarui muatan berbahaya kapan saja. Meskipun peneliti keamanan mungkin mencoba memperingatkan komunitas tentang kontrak berbahaya dengan menandainya, hal itu tidak menghentikan peretas untuk melakukan aktivitas berbahaya mereka menggunakan kontrak pintar tersebut.
Selain itu, penyerang dapat mengambil muatan berbahaya mereka menggunakan panggilan hanya-baca yang tidak meninggalkan riwayat transaksi yang terlihat pada blockchain, membuatnya sulit bagi peneliti untuk melacak aktivitas mereka di blockchain. Menurut laporan penelitian ancaman, EtherHiding mewakili "pergeseran menuju hosting anti-peluru generasi berikutnya" di mana fitur-fitur paling mencolok dari teknologi blockchain digunakan oleh penipu untuk tujuan berbahaya.
Bergabunglah dengan komunitas trading kripto premium gratis selama 30 hari – biasanya $100/bulan.
Sumber: https://www.cryptopolitan.com/north-korean-hackers-crypto-stealing-malware/
