Peringatan Kabut: Kelompok peretas Korea Utara merekrut dan menipu pengembang Web3, mencuri 12 juta selama 3 bulan

Lembaga keamanan SlowMist merilis peringatan darurat. Organisasi Korea Utara Lazarus, melalui suborganisasi HexagonalRodent yang berada di bawahnya, melancarkan serangan terhadap pengembang Web3. Dengan teknik social engineering seperti tawaran gaji tinggi untuk pekerjaan jarak jauh, penyerang membujuk pengembang agar menjalankan kode penilaian keahlian yang mencakup backdoor perangkat lunak berbahaya, lalu akhirnya mencuri aset kripto. Berdasarkan laporan investigasi Expel, pada tiga bulan pertama tahun 2026, nilai kerugian mencapai 12 juta dolar AS.

Metode Serangan: Kode penilaian keahlian adalah pintu masuk infeksi utama

Penyerang pertama-tama menghubungi target melalui LinkedIn atau platform rekrutmen, atau membuat situs web perusahaan palsu untuk memublikasikan lowongan. Dengan alasan “penilaian keterampilan dari rumah”, penyerang membuat pengembang menjalankan kode berbahaya. Kode penilaian tersebut mencakup dua jalur infeksi:

Serangan VSCode tasks.json: Penanaman kode berbahaya ke dalam file tasks.json yang menyertakan perintah runOn: folderOpen, sehingga pengembang hanya perlu membuka folder berisi file kode di VSCode, dan perangkat lunak berbahaya akan langsung dijalankan secara otomatis.

Backdoor tertanam dalam kode: Kode penilaian itu sendiri menyisipkan backdoor; saat kode dieksekusi, infeksi dipicu, memberikan jalur alternatif bagi pengembang yang tidak menggunakan VSCode.

Perangkat lunak berbahaya yang digunakan meliputi: BeaverTail (alat pencurian serbaguna NodeJS), OtterCookie (NodeJS reverse shell), dan InvisibleFerret (Python reverse shell).

Serangan rantai pasokan pertama: Ekstensi fast-draft VSX disusupi

Pada 18 Maret 2026, HexagonalRodent melancarkan serangan rantai pasokan terhadap ekstensi VSCode “fast-draft”, menyebarkan perangkat lunak berbahaya OtterCookie melalui ekstensi yang telah dirusak. SlowMist mengonfirmasi bahwa pada 9 Maret 2026, seorang pengguna dengan nama yang sama seperti pengembang ekstensi fast-draft telah terinfeksi OtterCookie.

Jika Anda mencurigai sistem telah terinfeksi, Anda dapat menggunakan perintah berikut untuk memeriksa apakah tersambung ke server C2 yang diketahui (195.201.104[.]53)： MacOS/Linux：netstat -an | grep 195.201.104.53 Windows：netstat -an | findstr 195.201.104.53

Penyalahgunaan alat AI: ChatGPT dan Cursor dikonfirmasi digunakan secara berbahaya

HexagonalRodent secara besar-besaran menggunakan ChatGPT dan Cursor untuk membantu serangan, termasuk menghasilkan kode berbahaya dan membangun situs web perusahaan palsu. Tanda kunci untuk mengenali kode berbahaya yang dihasilkan AI adalah penggunaan emoji dalam jumlah besar di dalam kode (sangat jarang dalam kode yang ditulis tangan).

Cursor telah memblokir akun dan IP terkait dalam satu hari kerja; OpenAI mengonfirmasi menemukan penggunaan ChatGPT yang terbatas, dan menyatakan bahwa bantuan yang dicari oleh akun-akun tersebut termasuk dalam skenario dual-use penggunaan yang sah untuk keamanan, serta tidak ditemukan aktivitas pengembangan malware yang berkelanjutan. Telah dikonfirmasi bahwa setidaknya 13 aliran dana dari dompet yang terinfeksi mengarah ke alamat Ethereum Korea Utara yang diketahui, dengan dana yang diterima lebih dari 1,1 juta dolar AS.

Pertanyaan yang Sering Diajukan

Bagaimana pengembang Web3 dapat melindungi diri dari serangan semacam ini?

Langkah perlindungan inti meliputi: (1) meningkatkan kewaspadaan tinggi terhadap pihak rekrutmen yang tidak dikenal, terutama peluang yang meminta penyelesaian penilaian kode dari rumah; (2) membuka repositori kode yang tidak familiar di lingkungan sandbox, bukan pada sistem utama; (3) memeriksa secara berkala file tasks.json milik VSCode untuk memastikan tidak ada tugas runOn: folderOpen yang tidak diotorisasi; (4) menggunakan kunci keamanan perangkat keras untuk melindungi dompet kripto.

Bagaimana cara memastikan sistem saya telah terinfeksi?

Jalankan perintah pemeriksaan cepat: pengguna MacOS/Linux menjalankan netstat -an | grep 195.201.104.53, pengguna Windows menjalankan netstat -an | findstr 195.201.104.53. Jika ditemukan koneksi persisten ke server C2 yang diketahui, segera putuskan jaringan dan lakukan pemindaian malware menyeluruh.

Mengapa HexagonalRodent memilih NodeJS dan Python sebagai bahasa untuk malware?

Pengembang Web3 biasanya sudah menginstal NodeJS dan Python di sistem mereka, sehingga proses berbahaya dapat menyatu dengan aktivitas normal pengembang tanpa memicu peringatan. Kedua bahasa ini bukan target utama pemantauan dalam sistem anti-malware tradisional; ditambah dengan penggunaan alat pengaburan kode komersial, membuat deteksi berbasis signature menjadi sangat sulit.