Serangan Siber Korea Utara Menargetkan Pengembang Global

Sebuah kampanye malware yang terus berlangsung kini menargetkan pengembang perangkat lunak di berbagai sistem operasi, termasuk Windows, Linux, dan macOS. Kampanye ini, yang dikenal dengan nama DEV#POPPER dan dikaitkan dengan Korea Utara, telah menjangkau korban di Korea Selatan, Amerika Utara, Eropa, dan Timur Tengah.

Dalam laporan terbaru yang dibagikan dengan The Hacker News, peneliti dari Securonix, Den Iuzvyk dan Tim Peck, mengungkapkan bahwa serangan ini adalah bentuk rekayasa sosial canggih yang dirancang untuk memanipulasi individu agar mengungkapkan informasi sensitif atau melakukan tindakan yang biasanya tidak mereka lakukan.

DEV#POPPER merupakan nama yang diberikan untuk kampanye malware aktif yang menipu pengembang perangkat lunak dengan menawarkan perangkat lunak berisi malware yang dihosting di GitHub, yang tampaknya terkait dengan tawaran wawancara pekerjaan. Kampanye ini memiliki kesamaan dengan kampanye yang dilacak oleh Palo Alto Networks Unit 42, yang dikenal dengan nama Contagious Interview.

Awal bulan ini, tanda-tanda menunjukkan bahwa kampanye ini lebih luas dan mencakup berbagai platform ketika peneliti menemukan artefak yang menargetkan Windows dan macOS dengan versi terbaru dari malware yang disebut BeaverTail. Rantai serangan yang didokumentasikan menunjukkan bahwa pelaku ancaman berpura-pura sebagai pewawancara untuk posisi pengembang dan meminta kandidat untuk mengunduh file arsip ZIP yang berisi tugas pengkodean.

Di dalam arsip tersebut terdapat modul npm yang, setelah diinstal, memicu eksekusi JavaScript yang terobfuscate, yakni BeaverTail. Skrip ini bertugas menentukan sistem operasi tempat ia dijalankan dan menghubungi server jarak jauh untuk mengekstraksi data yang relevan. Selain itu, BeaverTail juga dapat mengunduh payload tahap berikutnya, termasuk backdoor Python yang dikenal sebagai InvisibleFerret. Backdoor ini dirancang untuk mengumpulkan metadata sistem terperinci, mengakses cookie yang disimpan di browser web, menjalankan perintah, mengunggah dan mengunduh file, serta mencatat penekanan tombol dan konten clipboard.

Skrip Python ini juga berfungsi sebagai saluran untuk menjalankan skrip tambahan yang bertugas mencuri informasi sensitif dari berbagai browser web, seperti Google Chrome, Opera, dan Brave, di berbagai sistem operasi. Fitur-fitur baru yang ditambahkan pada sampel terbaru termasuk penggunaan obfuscation yang lebih canggih, perangkat lunak pemantauan dan manajemen jarak jauh (RMM) AnyDesk untuk memastikan persistensi, serta perbaikan pada mekanisme FTP yang digunakan untuk eksfiltrasi data.

Para peneliti Securonix menyatakan bahwa perkembangan ini menunjukkan perluasan canggih dari kampanye DEV#POPPER, dengan penggunaan skrip Python untuk melaksanakan serangan multi-tahap yang lebih terfokus pada eksfiltrasi informasi sensitif dari korban. Kampanye ini kini memiliki kemampuan yang jauh lebih kuat dibandingkan sebelumnya.

Serangan ini menandakan kemajuan signifikan dalam teknik dan alat yang digunakan oleh kelompok yang terafiliasi dengan Korea Utara. Dengan berfokus pada berbagai platform dan menggunakan teknik obfuscation yang lebih kompleks, DEV#POPPER menghadirkan tantangan serius bagi para profesional keamanan siber. Ancaman ini tidak hanya terbatas pada satu jenis sistem, melainkan berusaha menginfeksi sebanyak mungkin lingkungan yang berbeda.

Dalam menghadapi ancaman yang semakin canggih ini, penting bagi organisasi dan individu untuk memperkuat langkah-langkah keamanan mereka. Pengguna diingatkan untuk berhati-hati terhadap tautan atau perangkat lunak yang tidak dikenal dan memastikan bahwa mereka menggunakan solusi keamanan terkini untuk melindungi data mereka dari potensi serangan. Dengan meningkatnya kompleksitas serangan dan penggunaan teknologi yang semakin maju, langkah-langkah pencegahan yang efektif menjadi sangat krusial untuk menjaga keamanan informasi dan sistem di era digital ini.