Kelompok hacker asal Korea Utara kini menargetkan pengembang perangkat lunak melalui proyek JavaScript berbahaya yang disisipkan malware BeaverTail melalui paket NPM.
Serangan ini bertujuan untuk mencuri informasi dan mengunduh tahap-tahap malware tambahan, termasuk backdoor Python multi-tahap bernama InvisibleFerret.
Malware InvisibleFerret mencatat penekanan tombol keyboard, mencuri file sensitif, dan mengunduh alat AnyDesk yang memungkinkan penyerang mengelola perangkat secara jarak jauh. Selain itu, malware ini juga mencuri nomor kartu kredit dan kredensial yang tersimpan di browser.
Taktik, Teknik, dan Prosedur (TTP) Para Penyerang
ZIP file yang dikirim ke korban berisi paket NPM berbahaya. Setelah dipasang, paket ini mengeksekusi file “server.js” yang ditentukan dalam “package.json” dan kemudian memuat file JavaScript berbahaya bernama “error.js”.
Berikut detail alur serangan:
- “server.js” bertindak sebagai pintu masuk untuk file berbahaya yang ditemukan di “backend/middlewares/helpers/error.js”, memungkinkan serangan lebih lanjut di perangkat korban.
- Tindakan berbahaya meliputi:
- Mencuri kredensial login browser,
- Mengumpulkan data sistem,
- Melacak ekstensi dompet cryptocurrency,
- Mencuri konfigurasi dompet cryptocurrency seperti Exodus dan Solana.
Tim Intelijen Ancaman eSentire mengidentifikasi file error.js yang sangat dikaburkan sebagai komponen malware BeaverTail. Setelah kode JavaScript dimuat, ia mengunduh komponen malware InvisibleFerret dari server command and control (C2) dan mengunduh skrip Python awal InvisibleFerret.
“Dalam sampel yang kami amati, BeaverTail menargetkan total 21 ekstensi cryptocurrency,” ungkap peneliti.
Temuan ini sejalan dengan TTP kampanye Contagious Interview, yang memancing pengembang perangkat lunak dengan tawaran pekerjaan palsu.
Rekomendasi
- Asumsikan semua data telah bocor. Ganti kata sandi, kunci, dan data sensitif lainnya di perangkat yang terinfeksi.
- Pastikan perangkat memiliki solusi Endpoint Detection and Response (EDR) yang aktif dan terinstal di semua perangkat.
- Lakukan program Pelatihan Kesadaran Keamanan dan Phishing (PSAT) untuk mendidik karyawan tentang risiko baru dalam ekosistem ancaman.
- Terapkan kebijakan penggunaan perangkat perusahaan yang jelas untuk mencegah penyalahgunaan dan mengurangi potensi risiko serangan.
Dengan pendekatan proaktif, perusahaan dapat memitigasi ancaman dan melindungi data sensitif dari eksploitasi oleh kelompok peretas ini.
#Lindungi Data!
Sebagai perusahaan yang berkomitmen untuk membuat dunia digital yang lebih baik, PT Digital Solusi Grup mengajak Anda untuk selalu menjaga keamanan perangkat dan data Anda. Hubungi tim ahli kami di bidang cyber security untuk konsultasi lebih lanjut dan layanan perlindungan menyeluruh. Bersama kami, amankan bisnis Anda dari ancaman siber yang terus berkembang. Lindungi, Aman, dan Sukses bersama PT Digital Solusi Grup!
Referensi:
North Korean Hackers Attacking Developers With A Weaponized JavaScript Projects, Cyber Security News.
Baca Juga : DOJ Desak Google Jual Chrome untuk Hentikan Monopoli Pencarian
