Perekrut Palsu Sembunyikan Malware dalam Tes Coding untuk Developer Kripto
Aktor ancaman yang diduga terkait Korea Utara kembali menjalankan kampanye perekrutan palsu dengan modus baru. Kali ini, targetnya adalah developer JavaScript dan Python yang tertarik pada proyek blockchain dan cryptocurrency.
Peneliti dari ReversingLabs mengungkap bahwa kampanye ini aktif setidaknya sejak Mei 2025 dan menampilkan pola modular, memungkinkan pelaku dengan cepat memulihkan operasi jika sebagian infrastrukturnya terdeteksi atau diblokir.
Kampanye tersebut diberi nama Graphalgo, merujuk pada pola penamaan paket berbahaya yang digunakan pelaku.
Modus: Tes Coding yang Menginfeksi Sistem
Pelaku membuat perusahaan blockchain dan trading kripto palsu, lalu mempublikasikan lowongan kerja di berbagai platform seperti LinkedIn, Facebook, dan Reddit.
Calon kandidat yang melamar diminta:
- Mengunduh proyek contoh
- Menjalankan aplikasi
- Melakukan debugging
- Menambahkan fitur atau perbaikan kode
Namun, tujuan sebenarnya bukan menilai kemampuan teknis, melainkan membuat korban menjalankan proyek tersebut di sistem mereka.
Proyek yang diberikan tampak bersih di GitHub, tetapi diam-diam menyertakan dependensi berbahaya dari registry resmi seperti npm dan PyPI.
192 Paket Berbahaya di npm & PyPI
Secara total, peneliti menemukan 192 paket berbahaya yang digunakan dalam kampanye ini.
Karakteristiknya:
- Dipublikasikan di registry resmi npm dan PyPI
- Meniru pustaka populer (misalnya graphlib)
- Mengandung downloader untuk Remote Access Trojan (RAT)
- Aktivasi berbahaya sering ditunda untuk menghindari deteksi
Dalam salah satu contoh, paket bernama bigmathutils dengan 10.000 unduhan awalnya tidak berbahaya. Namun pada versi 1.1.0, kode berbahaya ditambahkan. Tak lama kemudian, paket tersebut ditarik dan ditandai deprecated—kemungkinan untuk menghapus jejak.
Sejak Desember 2025, pelaku juga beralih ke penamaan paket dengan awalan “big”, meski bagian front-end perekrutan untuk varian ini belum teridentifikasi.
RAT dengan Target Dompet Kripto
Ketika korban menjalankan proyek sesuai instruksi, dependensi berbahaya tersebut:
- Menginstal RAT di sistem
- Menghubungkan diri ke server command-and-control (C2)
- Mengaktifkan akses jarak jauh
Kemampuan RAT meliputi:
- Menampilkan daftar proses berjalan
- Menjalankan perintah arbitrer
- Mengunduh payload tambahan
- Mengekstrak file sensitif
Menariknya, malware ini secara khusus memeriksa apakah ekstensi MetaMask terpasang di browser korban—indikasi kuat bahwa tujuan utama adalah pencurian aset kripto.
Komunikasi C2 dilindungi token untuk membatasi observasi pihak luar, teknik yang kerap digunakan kelompok peretas Korea Utara.
Infrastruktur & Teknik Operasional
Pelaku menggunakan GitHub Organizations untuk menyamarkan proyek sebagai kolaborasi profesional. Repositori GitHub sendiri tampak bersih—kode berbahaya hanya muncul melalui dependensi eksternal.
Peneliti menemukan varian malware dalam:
- JavaScript
- Python
- VBS
Hal ini menunjukkan upaya menjangkau berbagai lingkungan pengembangan.
Dugaan Keterlibatan Lazarus Group
ReversingLabs mengaitkan kampanye Graphalgo dengan Lazarus Group dengan tingkat keyakinan menengah hingga tinggi.
Indikator yang mendukung atribusi tersebut antara lain:
- Fokus pada sektor kripto
- Penggunaan tes coding sebagai vektor infeksi
- Aktivasi tertunda untuk menghindari deteksi
- Commit Git dalam zona waktu GMT+9 (sesuai Korea Utara)
Kelompok Lazarus sebelumnya dikenal menjalankan kampanye serupa yang menyasar developer dan profesional Web3.
Rekomendasi bagi Developer
Developer yang pernah menginstal paket mencurigakan dari npm atau PyPI disarankan untuk:
- Segera mengganti seluruh password dan token API
- Memutar ulang kredensial akun kripto
- Menghapus sistem dan melakukan instalasi ulang OS
- Memverifikasi dependensi proyek sebelum dijalankan
- Menggunakan solusi keamanan supply chain
Kasus ini menegaskan bahwa serangan terhadap rantai pasok perangkat lunak kini semakin canggih dan menyasar langsung komunitas developer.
Tes coding yang tampak profesional dapat menjadi pintu masuk kompromi sistem—terutama jika menyangkut proyek kripto dan blockchain yang bernilai tinggi.
