Kelompok peretas yang berafiliasi dengan Korea Utara kembali menjadi sorotan setelah diketahui melancarkan serangan terhadap para pencari kerja di sektor kripto menggunakan malware baru bernama PylangGhost. Malware ini dirancang khusus untuk mencuri kata sandi dari dompet kripto dan aplikasi pengelola kata sandi.

Menurut laporan dari Cisco Talos pada Rabu (19 Juni), PylangGhost adalah trojan akses jarak jauh (Remote Access Trojan atau RAT) berbasis Python. Malware ini dikaitkan dengan kelompok peretasan yang dikenal sebagai Famous Chollima, atau Wagemole, yang memiliki jejak serangan siber yang cukup luas.

Skema Rekrutmen Palsu Targetkan Profesional Blockchain

Serangan ini menyasar pencari kerja dan pegawai yang memiliki latar belakang di bidang kripto dan blockchain, terutama yang berada di India. Modus operandi mereka menggunakan kampanye wawancara kerja palsu yang memanfaatkan teknik social engineering untuk memanipulasi korban.

Cisco menjelaskan bahwa para peretas membuat situs lowongan kerja palsu yang meniru perusahaan ternama seperti Coinbase, Robinhood, dan Uniswap. Setelah korban tertarik dan mendaftar, mereka diarahkan ke situs pengujian keterampilan yang sebenarnya digunakan untuk mengumpulkan informasi pribadi.

Selanjutnya, korban diminta untuk mengaktifkan kamera dan mikrofon untuk wawancara palsu. Dalam sesi tersebut, mereka diperdaya untuk menyalin dan menjalankan perintah berbahaya di bawah dalih menginstal driver video terbaru—yang pada akhirnya memberikan akses penuh ke perangkat mereka.

Target Utama: Dompet dan Manajer Kata Sandi

PylangGhost merupakan versi baru dari malware GolangGhost RAT yang sebelumnya telah diketahui. Fungsi utamanya adalah memberikan kendali jarak jauh atas sistem korban dan mencuri cookies serta kredensial dari lebih dari 80 ekstensi browser.

Beberapa target spesifik dari malware ini mencakup dompet kripto dan manajer kata sandi populer seperti:

• MetaMask

• 1Password

• NordPass

• Phantom

• Bitski

• Initia

• TronLink

• MultiverseX

Kemampuan Serangan Canggih dan Serbaguna

Selain mencuri kredensial, malware ini juga dapat:

• Mengambil tangkapan layar perangkat korban

• Mengelola dan mencuri file

• Mengakses data sistem dan browser

• Menjaga akses jarak jauh secara berkelanjutan

Para peneliti mencatat bahwa kecil kemungkinan malware ini dikembangkan menggunakan model bahasa AI seperti ChatGPT, karena kode program menunjukkan gaya penulisan manual dari peretas.

Taktik Lama yang Kembali Digunakan

Serangan dengan modus rekrutmen palsu bukan hal baru. Pada April lalu, kelompok peretas yang diduga terkait dengan peretasan senilai $1,4 miliar terhadap Bybit juga menggunakan tes wawancara palsu yang mengandung malware untuk menargetkan pengembang kripto.