Peretas Diduga dari Korea Utara Sasar Pengguna macOS di Komunitas Web3
Peneliti keamanan siber dari SentinelLabs telah mengungkap kampanye peretasan canggih yang menyasar pengguna macOS. Serangan yang diberi nama NimDoor ini diyakini berasal dari aktor ancaman yang berafiliasi dengan Korea Utara. Target utamanya adalah komunitas dan bisnis Web3 berskala kecil, termasuk investor kripto yang menggunakan perangkat Mac.
Serangan ini memanfaatkan teknik yang rumit dan efektif untuk mengelabui korban. Para peretas telah mengembangkan metode yang sulit dideteksi.
Modus Operandi NimDoor: Teknik Penyamaran yang Cerdik
Serangan dimulai dengan email palsu yang menyamar sebagai pihak terpercaya yang ingin menjadwalkan rapat melalui Calendly. Email tersebut berisi permintaan untuk memperbarui aplikasi Zoom.
Saat korban mengklik tautan pembaruan, dua file berbahaya akan diunduh secara otomatis ke sistem Mac. File-file ini kemudian menjalankan dua proses terpisah.
- Proses pertama mengumpulkan informasi sistem dan data aplikasi korban.
- Proses kedua memberikan akses jangka panjang bagi peretas ke perangkat korban.
Selain itu, malware juga akan menginstal dua skrip Trojan Bash. Skrip ini dirancang untuk mencuri data dari berbagai browser populer, termasuk Chrome, Firefox, Brave, Arc, dan Edge.
Malware ini juga mengekstrak informasi terenkripsi dari aplikasi Telegram, termasuk kunci dekripsi. Kombinasi bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran canggih membuat deteksi menjadi sangat sulit.
Jejak Keuangan: Investigasi ZachXBT Mengungkap Pola Mencurigakan
Peneliti blockchain independen, ZachXBT, turut menyelidiki aktivitas keuangan yang mencurigakan. ZachXBT menemukan aliran dana yang menghubungkan pekerja TI Korea Utara dengan berbagai proyek kripto.
Dalam penyelidikannya di platform X, ZachXBT berhasil melacak lebih dari $2,76 juta USDC yang ditransfer dari akun Circle ke delapan individu. Individu-individu ini bekerja di 12 proyek kripto yang berbeda.
Beberapa alamat dompet kripto yang digunakan mirip dengan alamat yang telah masuk daftar hitam Tether pada tahun 2023. Alamat-alamat tersebut dikaitkan dengan tersangka Sim Hyon Sop.
ZachXBT menyimpulkan bahwa perekrutan pekerja TI dari Korea Utara oleh perusahaan rintisan kripto merupakan indikator potensi kegagalan proyek tersebut. Bukan karena keahlian pekerja, melainkan karena kelalaian tim manajemen.
Pentingnya Kewaspadaan Bagi Komunitas Kripto
Serangan NimDoor menjadi peringatan bagi investor dan proyek kripto, khususnya yang berbasis Web3. Mereka perlu meningkatkan kewaspadaan terhadap serangan rekayasa sosial (social engineering).
Meskipun terlihat sederhana, serangan ini sebenarnya menggunakan malware yang kompleks dan sulit dideteksi. Penggunaan perangkat Mac untuk mengelola aset digital tidak menjamin keamanan.
Untuk mencegah serangan serupa, hindari mengklik tautan yang tidak resmi. Selalu verifikasi permintaan pembaruan perangkat lunak melalui situs resmi pengembang. Kehati-hatian dan verifikasi yang teliti adalah kunci utama.
Serangan NimDoor dan penyelidikan ZachXBT menyoroti ancaman nyata yang dihadapi komunitas Web3. Kombinasi teknik peretasan yang canggih dan aktivitas keuangan yang mencurigakan menunjukkan perlunya peningkatan keamanan dan kewaspadaan di seluruh ekosistem kripto. Pentingnya verifikasi dan praktik keamanan siber yang kuat tidak dapat dilebih-lebihkan.
