Pencari Kerja Kripto di India Jadi Target Serangan Siber Korea Utara

Hacker Korea Utara “Famous Chollima” Incar Pelamar Kerja Kripto di India

Menurut laporan dari Cisco Talos, kelompok siber asal Korea Utara yang dikenal dengan nama “Famous Chollima” tengah memfokuskan serangan sibernya pada pencari kerja di sektor kripto di India. Meski sama-sama berasal dari Korea Utara, kelompok ini tidak memiliki hubungan langsung dengan Lazarus, grup hacker terkenal yang selama ini sering dikaitkan dengan pencurian aset digital bernilai besar.

Hingga kini, belum jelas apakah aktivitas ini hanya mencakup serangan berskala kecil atau merupakan bagian dari rencana serangan yang lebih besar. Karena itu, individu yang tengah mencari pekerjaan di industri kripto diimbau meningkatkan kewaspadaan terhadap potensi penipuan atau rekayasa sosial.

Ancaman Korea Utara Terhadap Dunia Kripto Belum Mereda

Kelompok Lazarus dikenal luas sebagai dalang di balik beberapa peretasan terbesar dalam sejarah industri kripto, namun mereka bukan satu-satunya pemain berbahaya dari negara tersebut. Korea Utara diketahui memiliki kehadiran signifikan di sektor DeFi, serta terus mengeksplorasi berbagai metode untuk mengeksploitasi kelemahan keamanan Web3.

Cisco Talos mencatat adanya aktivitas siber terbaru di India yang tampaknya menunjukkan pendekatan baru dalam pencurian aset digital, berbeda dari serangan besar-besaran sebelumnya.

Famous Chollima Gunakan Lowongan Palsu untuk Serang Pencari Kerja Kripto

Laporan terbaru mengungkap bahwa Famous Chollima, kelompok peretas asal Korea Utara, sudah aktif sejak pertengahan 2024 atau bahkan lebih awal. Berbeda dari serangan sebelumnya yang menyusup ke perusahaan kripto seperti Kraken dengan berpura-pura sebagai pelamar, kelompok ini kini memancing korban dengan menawarkan pekerjaan palsu.

Menurut Cisco Talos, kampanye yang dijalankan melibatkan iklan lowongan palsu dan halaman uji keterampilan, di mana pelamar diminta untuk menyalin perintah tertentu ke komputer mereka — perintah ini sebenarnya memasang malware atau skrip berbahaya.

Korban paling banyak berasal dari India, dan menjadi target karena industri kripto di sana sedang berkembang pesat.

Phishing Ceroboh tapi Berbahaya

Berbeda dengan kelompok Lazarus yang terkenal sangat rapi dan terstruktur, upaya phishing oleh Famous Chollima terkesan ceroboh. Cisco menemukan bahwa aplikasi palsu yang digunakan selalu mengatasnamakan perusahaan kripto ternama, namun tidak menyertakan logo resmi dan sering kali mengajukan pertanyaan wawancara yang tidak relevan dengan posisi yang ditawarkan.

Kampanye ini mengandalkan kecerobohan atau ketidaktahuan korban, bukan kecanggihan teknis tinggi. Meski demikian, dampaknya tetap serius dan menyoroti perlunya kewaspadaan tinggi dari pelamar kerja di sektor Web3 dan kripto.

Modus Licik: Peretas Pancing Korban Lewat Lowongan Palsu

Para pelaku menggunakan situs rekrutmen palsu yang menyamar sebagai perusahaan teknologi atau kripto ternama untuk memikat korban. Setelah mengisi formulir aplikasi, korban diundang melakukan wawancara video yang terlihat sah.

Namun, selama proses tersebut, korban diminta menjalankan perintah terminal—dengan dalih untuk memasang "driver video". Nyatanya, perintah itu mengunduh dan memasang malware berbahaya bernama PylangGhost.

Malware Serba Bisa: Kendali Sistem dan Curi Aset Kripto

Setelah aktif, PylangGhost memberi kendali penuh ke sistem korban, mencuri data sensitif seperti kata sandi, riwayat browser, dan informasi wallet kripto. Malware ini menargetkan lebih dari 80 ekstensi populer, termasuk MetaMask, Phantom, dan 1Password.

Baru-baru ini, BitMEX mengungkapkan bahwa kelompok Lazarus menggunakan dua tim berbeda: tim awal dengan kemampuan terbatas untuk menjebol keamanan, dan tim lanjutan dengan keahlian tinggi untuk melakukan pencurian. Bisa jadi, ini juga diterapkan oleh grup peretas Korea Utara lainnya seperti Famous Chollima.