JAKARTA - Sebuah kampanye siber yang dikaitkan dengan aktor ancaman asal Korea Utara terungkap menggunakan modus lowongan kerja palsu untuk menyebarkan malware kepada para pengembang perangkat lunak. Operasi ini dikenal dengan nama Graphalgo dan dilaporkan menargetkan profesional JavaScript serta Python, terutama yang memiliki pengalaman di bidang kripto.
Laporan dari ReversingLabs menyebutkan bahwa kampanye tersebut telah aktif sejak Mei 2025. Para pelaku menyamar sebagai perusahaan blockchain dan perdagangan kripto, lalu memasang iklan lowongan kerja palsu melalui platform seperti LinkedIn, Facebook, dan Reddit.
Pelamar yang tertarik diminta menyelesaikan tes teknis sebagai bagian dari proses rekrutmen. Biasanya tugas tersebut berupa debugging atau peningkatan proyek contoh yang tampak sah dan profesional. Namun di balik proyek tersebut, terdapat dependensi berbahaya yang disisipkan secara tersembunyi dan diunggah ke repositori tepercaya seperti npm dan PyPI.
Ketika korban menjalankan proyek tersebut, dependensi berbahaya akan menginstal remote access trojan (RAT) ke dalam sistem. Malware ini memberi pelaku kendali penuh atas perangkat yang terinfeksi tanpa disadari korban.
Menurut temuan yang diungkap, setidaknya 192 paket berbahaya terkait dengan operasi Graphalgo. Dalam salah satu kasus, paket bernama bigmathutils awalnya bersih hingga versi 1.1.0, sebelum akhirnya disusupi payload berbahaya. Setelah itu, paket tersebut dihapus untuk menghindari deteksi lebih lanjut.
RAT yang dipasang mampu melakukan berbagai aktivitas berbahaya, termasuk menampilkan daftar proses yang sedang berjalan, mengeksekusi perintah arbitrer, mengekstraksi file, hingga mengunduh dan menjalankan payload tambahan. Malware tersebut juga memeriksa keberadaan ekstensi dompet kripto MetaMask di browser korban, yang mengindikasikan motif finansial di balik serangan.
Komunikasi antara malware dan server kendali dilakukan menggunakan metode berbasis token yang dilindungi, sehingga menyulitkan pemantauan eksternal oleh sistem keamanan.
Para pakar keamanan siber menilai operasi Graphalgo kemungkinan besar terkait dengan kelompok Lazarus, kelompok peretas yang telah lama dikaitkan dengan Korea Utara dan dikenal aktif melakukan serangan berbasis rekayasa sosial serta skema lowongan kerja palsu.
Kasus ini kembali menjadi pengingat bagi para pengembang untuk selalu melakukan verifikasi menyeluruh terhadap paket dan dependensi sebelum menginstalnya, termasuk memeriksa riwayat versi, reputasi penerbit, serta aktivitas pembaruan yang mencurigakan di repositori perangkat lunak.
Posting Komentar