Sebuah operasi siber global yang canggih baru saja terungkap, mengindikasikan adanya kelompok peretas yang beroperasi dengan metode baru yang mengejutkan. Peneliti keamanan siber berhasil mengidentifikasi sebuah malware baru bernama Omnistealer, yang secara khusus menargetkan para pengembang perangkat lunak dan pekerja lepas.
Modus operandi yang digunakan sangat licik, memanfaatkan platform populer seperti LinkedIn dan GitHub. Pelaku menyebarkan tawaran pekerjaan palsu yang dirancang untuk memancing korban agar mengunduh dan menjalankan kode berbahaya. Skala dan potensi dampak dari serangan ini disebut-sebut setara dengan serangan siber masif seperti WannaCry.
Yang membuat Omnistealer berbeda dan lebih mengkhawatirkan adalah inovasi teknologinya. Malware ini memanfaatkan teknologi blockchain publik, tidak hanya untuk transaksi pembayaran, tetapi sebagai bagian integral dari sistem penyebaran kode berbahaya. Hal ini menambah lapisan kompleksitas dan potensi kegigihan serangan.
Jebakan Digital Berbasis Blockchain
Menurut Nick Smart, Chief Intelligence Officer di Crystal Intelligence, meskipun sederhana untuk dipicu oleh korban, desain teknis Omnistealer sangatlah rumit. Tahap awal serangan melibatkan korban yang diminta untuk menjalankan potongan kode yang tampak tidak berbahaya.
Potongan kode ini, yang terlihat seperti skrip biasa, sebenarnya berfungsi sebagai pemicu awal. Setelah dieksekusi, kode tersebut akan berkomunikasi dengan blockchain publik TRON atau Aptos. Melalui blockchain ini, malware mencari dan membaca data tersembunyi yang disiapkan oleh para pelaku.
Selanjutnya, data yang diperoleh dari blockchain TRON atau Aptos akan mengarahkan sistem korban ke Binance Smart Chain. Di sana, malware akan mengunduh dan mengeksekusi payload berbahaya final yang dirancang untuk mencuri data.
Proses eksekusi payload terakhir inilah yang menjadi inti dari kehancuran. Begitu kode berbahaya ini aktif, Omnistealer akan beraksi menguras hampir seluruh isi perangkat korban. Kemampuannya sangat luas dan menargetkan berbagai jenis informasi sensitif.
Jangkauan Luas Omnistealer
Tim peneliti dari Ransom-ISAC menemukan bahwa Omnistealer mampu menargetkan lebih dari 60 ekstensi dompet kripto. Ini berarti aset digital pengguna yang disimpan dalam dompet populer seperti MetaMask dan Coinbase menjadi sasaran utama.
Tidak berhenti di situ, malware ini juga mengincar informasi kredensial lainnya. Lebih dari 10 pengelola kata sandi (password manager) yang umum digunakan juga menjadi target. Peramban web populer seperti Chrome dan Firefox, yang menyimpan riwayat penjelajahan dan kredensial login, juga menjadi incaran.
Bahkan, layanan penyimpanan awan seperti Google Drive tidak luput dari serangan. Kemampuan Omnistealer untuk mengakses data dari berbagai platform ini menunjukkan skala ancaman yang sangat komprehensif terhadap informasi digital pengguna.
Sejauh ini, para penyelidik telah berhasil mengaitkan sekitar 300.000 kredensial yang berhasil dicuri dari operasi ini. Data yang bocor mencakup informasi yang sangat sensitif, berasal dari berbagai sektor krusial.
Informasi ini meliputi data dari firma keamanan siber itu sendiri, perusahaan yang bergerak di bidang pertahanan, hingga lembaga pemerintah dari berbagai negara. Kebocoran semacam ini dapat memiliki konsekuensi geopolitik dan ekonomi yang serius.
Target Utama: Pengembang di Asia Selatan
Strategi penyerangan yang digunakan pelaku terbagi dalam dua peran utama. Pertama, mereka menyamar sebagai perekrut profesional dari perusahaan teknologi ternama. Peran ini digunakan untuk menawarkan pekerjaan kontrak, khususnya untuk proyek uji coba yang terdengar menarik.
Kedua, pelaku berpura-pura menjadi pengembang lepas (freelancer) yang aktif di platform seperti GitHub. Mereka kemudian mengirimkan “pull request” yang berisi malware tersembunyi. Pull request adalah fitur kolaborasi di GitHub di mana pengembang dapat mengajukan perubahan kode.
Para peneliti mencatat bahwa pengembang di Asia Selatan, dengan India sebagai fokus utama, menjadi sasaran utama operasi ini. Pertumbuhan jumlah pengembang di wilayah ini sangat pesat dalam beberapa tahun terakhir, menjadikannya pasar yang menarik bagi pelaku siber.
Selain itu, tingkat adopsi mata uang kripto di wilayah ini juga tergolong tinggi. Kombinasi kedua faktor ini membuat tawaran pekerjaan asing dengan bayaran yang menggiurkan, terutama dalam bentuk kripto, sering kali sulit untuk ditolak oleh para pengembang.
Kaitan dengan Korea Utara
Jejak digital yang ditinggalkan oleh infrastruktur serangan ini mengarah pada aktivitas kelompok peretas yang didukung oleh negara. Penyelidikan mengarah pada Korea Utara sebagai aktor di balik operasi Omnistealer.
Para penyelidik menemukan alamat IP yang berlokasi di Vladivostok, Rusia. Lokasi ini sebelumnya sering dikaitkan dengan operasi siber yang dijalankan oleh negara Korea Utara. Hubungan ini memperkuat dugaan keterlibatan negara dalam serangan ini.
Lebih lanjut, beberapa dompet kripto yang digunakan dalam transaksi terkait operasi ini menunjukkan kesamaan dengan aset yang terdeteksi dalam insiden pencurian besar di bursa kripto Bybit pada awal tahun 2025. Kesamaan ini semakin memperkuat kaitan antara Omnistealer dan aktivitas siber negara Korea Utara.
Nick Carlsen dari TRM Labs memberikan analisis mendalam mengenai motif di balik operasi ini. Tujuan utama kemungkinan besar adalah finansial, di mana hasil curian digunakan untuk mendanai program militer Korea Utara yang terus berkembang.
Namun, Carlsen juga menyoroti potensi penggunaan lain dari data yang dicuri. Sebanyak 300.000 kredensial yang berhasil dikumpulkan dapat dimanfaatkan untuk membangun profil identitas palsu bagi pekerja Teknologi Informasi (TI) Korea Utara.
Profil palsu ini kemudian dapat digunakan untuk menembus pasar kerja internasional secara ilegal. Dengan demikian, Korea Utara dapat memperoleh akses ke teknologi, informasi, dan sumber daya yang berharga melalui tenaga kerja yang tidak terdeteksi.
Ancaman Ganda bagi Dunia Siber
Serangan Omnistealer menunjukkan evolusi taktik yang dilakukan oleh aktor siber yang disponsori negara. Penggunaan blockchain sebagai bagian dari infrastruktur malware merupakan langkah maju yang patut diwaspadai.
Blockchain, yang dikenal karena sifatnya yang terdesentralisasi dan sulit diubah, kini dimanfaatkan untuk menyembunyikan dan mendistribusikan kode berbahaya. Hal ini membuat deteksi dan penanggulangan serangan menjadi lebih menantang bagi para profesional keamanan siber.
Bagi para pengembang perangkat lunak dan pekerja lepas, serangan ini menjadi pengingat pentingnya kewaspadaan ekstra. Tawaran pekerjaan yang tampak menggiurkan, terutama dari sumber yang tidak dikenal atau melalui platform yang rentan, harus selalu diperiksa dengan cermat.
Penting untuk melakukan verifikasi terhadap identitas perekrut dan perusahaan yang menawarkan pekerjaan. Memeriksa reputasi perusahaan dan meneliti detail proyek secara mendalam dapat menjadi langkah pencegahan yang efektif.
Selain itu, menjaga keamanan perangkat dan akun digital menjadi prioritas utama. Penggunaan otentikasi dua faktor (2FA) pada semua akun penting, termasuk akun email, platform pengembangan, dan dompet kripto, sangat disarankan.
Memperbarui perangkat lunak secara berkala, menginstal solusi antivirus yang terpercaya, dan berhati-hati saat mengunduh atau menjalankan file dari sumber eksternal juga merupakan praktik keamanan dasar yang krusial.
Kasus Omnistealer ini menggarisbawahi bahwa ancaman siber terus berkembang, memanfaatkan teknologi baru untuk mencapai tujuannya. Dengan memahami modus operandi pelaku dan meningkatkan kesadaran keamanan, komunitas pengembang dan pengguna digital dapat lebih siap menghadapi tantangan di era digital yang semakin kompleks ini.
Tinggalkan komentar