Peretas Korea Utara Mengubah Alat Pengembang Menjadi Saluran Pengiriman Malware

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Peneliti keamanan siber telah menandai dua kampanye siber berbahaya yang menunjukkan kemiripan dengan kelompok ancaman Korea Utara yang dikenal dengan Contagious Interview (alias…

Peneliti keamanan siber telah menandai dua kampanye siber berbahaya yang menunjukkan kemiripan dengan kelompok ancaman Korea Utara yang dikenal dengan Contagious Interview (alias Famous Chollima, HexagonalRodent, dan Void Dokkaebi).

Proofpoint mengatakan pelacakan UNK_DeadDrop berbeda dari Contagious Interview karena perbedaan dalam metode akses awal (LinkedIn vs. email) dan penggunaan kerangka Overlord, yang berbeda dari keluarga malware khusus yang biasanya digunakan oleh kelompok peretas Korea Utara, termasuk BeaverTail, InvisibleFerret, dan OtterCookie.

Meskipun tidak ada tumpang tindih langsung dengan kampanye Korea Utara yang didokumentasikan secara publik, Yeeth Security mengatakan pemisahan alat pengembang antara JavaScript dan Python memiliki kesamaan dalam Contagious Interview, dan bahwa mekanisme otentikasi Microsoft Graph API artefak berbahaya tersebut memiliki beberapa kesamaan dengan serangan Dream Job milik Grup Lazarus yang dirinci oleh S2 Grupo LAB52 pada bulan Oktober 2025.

Tindak lanjut dari serangan rantai pasokan Axios menggunakan tiga paket npm berbahaya (redeem-onchain-sdk@1. 0. 7, nicegui@0. 1. 4, dan period-newline@0. 1. 0) yang mengirimkan pencuri informasi yang mengambil data yang diambil ke infrastruktur C2 yang berbeda. Paket-paket tersebut terdaftar sebagai dependensi pada proyek GitHub yang disamarkan sebagai bot perdagangan mata uang kripto. “Kurang dari 18 jam setelah paket berbahaya Axios dihapus dari NPM, muatan sekunder pertama sudah ada di registri,” kata OpenSourceMalware. “Hal ini menunjukkan bahwa pelaku ancaman telah menyiapkan infrastruktur cadangan dan siap untuk segera menerapkan mekanisme penyampaian alternatif.”

Penggunaan lebih dari 50 paket berbahaya oleh Contagious Trader yang tertanam di lebih dari 100 repositori GitHub menargetkan pengembang di ruang cryptocurrency untuk mengirimkan tiga keluarga malware: PromptMink, OtterCookie, dan pencuri clipboard Windows baru yang disebut ClipViper. “Repositori jahat dipromosikan melalui akun terverifikasi di X dan Reddit, menggunakan identitas pengembang palsu dan jumlah bintang yang digelembungkan bot agar tampak sah, dan didistribusikan ke 40+ pengguna dan organisasi GitHub sebagai jalur pengiriman yang berlebihan,” kata Panther.

Penggunaan kecerdasan buatan generatif dari Contagious Interview untuk membantu pengembangan loader yang bertanggung jawab meluncurkan BeaverTail dan OtterCookie, dan untuk mendirikan perusahaan terdepan yang digunakan untuk mencantumkan lowongan pekerjaan dan penjangkauan rekayasa sosial melalui akun LinkedIn palsu. Menurut data yang dibagikan oleh Expel, kampanye ini kemungkinan besar dilakukan oleh banyak tim, masing-masing terdiri dari beberapa anggota. Serangan tersebut telah mengakibatkan pencurian mata uang kripto senilai $12 juta dalam tiga bulan pertama tahun 2026. “Kampanye pelaku ancaman mengambil total 26, 584 dompet mata uang kripto dari 2, 726 sistem pengembang yang terinfeksi,” kata Marcus Hutchins dari Expel.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com