Kelompok peretas terkenal asal Korea Utara, Lazarus Group, kembali melakukan serangan besar dengan memanfaatkan teknologi blockchain dan game NFT untuk menyusupi sistem pengguna. Kelompok ini menggunakan game palsu untuk mengeksploitasi kerentanan zero-day di peramban Google Chrome, yang memungkinkan mereka mencuri kredensial dompet digital para korbannya.

Eksploitasi Zero-Day di Chrome

Serangan Lazarus Group ini berawal dari eksploitasi kerentanan zero-day di mesin JavaScript V8 pada Google Chrome. Kerentanan zero-day adalah celah keamanan yang belum diketahui oleh pengembang perangkat lunak, sehingga belum memiliki tambalan keamanan. Dengan mengeksploitasi celah ini, Lazarus berhasil memasang spyware di perangkat pengguna tanpa sepengetahuan mereka.

Spyware ini dirancang khusus untuk mencuri kredensial wallet, yang menyimpan aset kripto atau aset digital lainnya. 

Untuk melancarkan aksinya, Lazarus Group mengembangkan game play-to-earn berbasis blockchain yang sepenuhnya dapat dimainkan, dengan nama "DeTankZone" atau "DeTankWar". Game ini menggunakan Non-Fungible Token (NFT) sebagai aset dalam permainan, dengan tank virtual sebagai elemen kompetisi global. Promosi game ini dilakukan di platform LinkedIn dan X (sebelumnya Twitter), menjadikannya terlihat sah dan menarik perhatian banyak pengguna.

Uniknya, pengguna yang mengunjungi situs game ini bisa terinfeksi malware meskipun mereka tidak mengunduh gamenya. Lazarus Group meniru game DeFiTankLand yang sudah ada, sehingga game palsu mereka tampak mirip dengan game yang benar-benar sah, membuatnya semakin sulit dikenali sebagai ancaman.

Dalam serangan ini, Lazarus Group menggunakan malware bernama Manuscrypt. Malware ini sudah dikenal sering digunakan dalam serangan Lazarus sebelumnya, terutama dalam upaya pencurian kripto. Namun, yang membuat serangan kali ini lebih berbahaya adalah penggunaan celah kerentanan baru yang belum pernah terlihat sebelumnya, yaitu "type confusion bug" di mesin V8 JavaScript.

Bug ini memungkinkan peretas untuk menjalankan kode berbahaya di perangkat korban, yang kemudian menginstal spyware untuk mencuri informasi penting, seperti kredensial dompet digital.

Serangan ini pertama kali ditemukan oleh analis dari Kaspersky Labs pada Mei 2024. Mereka melaporkannya kepada Google, yang kemudian segera memperbaiki kerentanan tersebut. Google membutuhkan waktu 12 hari untuk menambal kerentanan tersebut.

Serangan Lazarus Group ini merupakan ancaman serius bagi pengguna Chrome, mengingat ini adalah kerentanan zero-day ketujuh yang ditemukan di Chrome sepanjang tahun 2024 hingga pertengahan Mei. Dengan kemunculan ancaman seperti ini, penting bagi pengguna internet untuk selalu menjaga perangkat lunak mereka tetap diperbarui dengan patch keamanan terbaru, guna mencegah eksploitasi semacam ini.

Lazarus Group lebih menargetkan kripto. Menurut pengamat kejahatan kripto ZachXBT, antara tahun 2020 hingga 2023, kelompok ini telah mencuci lebih dari $200 juta dalam bentuk kripto dari 25 peretasan.

Departemen Keuangan Amerika Serikat juga menuduh Lazarus Group  berada di balik serangan terhadap Ronin Bridge yang menghasilkan nilai kripto lebih dari $600 juta pada tahun 2022. 

Perusahaan keamanan siber AS Recorded Future menemukan bahwa peretas Korea Utara secara keseluruhan telah mencuri lebih dari $3 miliar dalam bentuk kripto antara tahun 2017 dan 2023.