Variasi baru kampanye perekrut palsu dari pelaku ancaman Korea Utara menargetkan pengembang JavaScript dan Python dengan tugas terkait mata uang kripto.
Aktivitas ini telah berlangsung setidaknya sejak Mei 2025 dan dicirikan oleh modularitas, yang memungkinkan pelaku ancaman untuk segera melanjutkannya jika terjadi kompromi parsial.
Pelaku jahat bergantung pada paket yang dipublikasikan di registri npm dan PyPi yang bertindak sebagai pengunduh untuk trojan akses jarak jauh (RAT). Secara total, peneliti menemukan 192 paket jahat terkait kampanye ini, yang mereka juluki ‘Graphalgo’.
Para peneliti di perusahaan keamanan rantai pasokan perangkat lunak ReversingLabs mengatakan bahwa pelaku ancaman menciptakan perusahaan palsu di sektor blockchain dan perdagangan kripto dan menerbitkan tawaran pekerjaan di berbagai platform, seperti LinkedIn, Facebook, dan Reddit.
Sumber: ReversingLabs
Pengembang yang melamar pekerjaan diharuskan untuk menunjukkan keahlian mereka dengan menjalankan, melakukan debug, dan meningkatkan proyek tertentu. Namun, tujuan penyerang adalah membuat pemohon menjalankan kode tersebut.
Tindakan ini akan menyebabkan ketergantungan berbahaya pada repositori yang sah untuk diinstal dan dijalankan.
“Sangat mudah untuk membuat repositori tugas pekerjaan seperti itu. Pelaku ancaman hanya perlu mengambil proyek sederhana yang sah dan memperbaikinya dengan ketergantungan yang berbahaya dan siap untuk disajikan ke target,” kata kata peneliti.
Untuk menyembunyikan sifat berbahaya dari dependensi, peretas menghosting dependensi pada platform yang sah, seperti npm dan PyPi.
sumber: ReversingLabs
Dalam satu kasus yang disorot dalam laporan ReversingLabs, sebuah paket bernama ‘bigmathutils’, dengan 10.000 unduhan, tidak berbahaya hingga mencapai versi 1.1.0, yang memperkenalkan muatan berbahaya. Tak lama setelah itu, pelaku ancaman menghapus paket tersebut, menandainya sebagai paket yang tidak digunakan lagi, kemungkinan besar untuk menyembunyikan aktivitasnya.
Nama kampanye Graphalgo berasal dari paket yang memiliki “grafik” di namanya. Mereka biasanya meniru perpustakaan yang sah dan populer graphlibkata para peneliti.
Namun, mulai Desember 2025 dan seterusnya, aktor Korea Utara tersebut beralih ke paket dengan nama “besar”. Namun, ReversingLabs belum menemukan bagian perekrutan, atau bagian depan kampanye, yang terkait dengan mereka.
Sumber: ReversingLabs
Menurut para peneliti, aktor tersebut menggunakan Organisasi Github, yang merupakan akun bersama untuk berkolaborasi di berbagai proyek. Mereka mengatakan bahwa repositori GitHub bersih, dan kode berbahaya dimasukkan secara tidak langsung melalui dependensi yang dihosting di npm dan PyPI, yang merupakan paket Graphalgo.
Korban yang menjalankan proyek seperti yang diinstruksikan dalam wawancara akan menginfeksi sistem mereka dengan paket-paket ini, yang menginstal muatan RAT pada mesin mereka.
Perlu dicatat bahwa peneliti ReversingLabs mengidentifikasi beberapa pengembang yang tertipu dan menghubungi mereka untuk rincian lebih lanjut tentang proses perekrutan.
RAT dapat membuat daftar proses yang berjalan di host, menjalankan perintah sewenang-wenang sesuai instruksi dari server perintah-dan-kontrol (C2), dan mengekstrak file atau membuang muatan tambahan.
Sumber: ReversingLabs
RAT memeriksa apakah ekstensi mata uang kripto MetaMask diinstal pada browser korban, yang merupakan indikasi jelas mengenai tujuan pencurian uangnya.
Komunikasi C2-nya dilindungi token untuk mengunci pengamat yang tidak berwenang, sebuah taktik umum yang dilakukan peretas Korea Utara.
ReversingLabs telah menemukan beberapa varian yang ditulis dalam JavaScript, Python, dan VBS, yang menunjukkan niat untuk mencakup semua kemungkinan target.
Para peneliti mengaitkan kampanye perekrut palsu Graphalgo dengan kelompok Lazarus dengan tingkat kepercayaan sedang hingga tinggi. Kesimpulannya didasarkan pada pendekatan, penggunaan tes pengkodean sebagai vektor infeksi, dan penargetan yang berfokus pada mata uang kripto, yang semuanya selaras dengan aktivitas sebelumnya yang terkait dengan aktor ancaman Korea Utara.
Selain itu, para peneliti mencatat penundaan aktivasi kode berbahaya dalam paket, konsisten dengan kesabaran Lazarus yang ditunjukkan dalam serangan lainnya. Terakhir, komitmen Git menunjukkan zona waktu GMT +9, yang cocok dengan waktu Korea Utara.
Indikator lengkap kompromi (IoCs) adalah tersedia dalam laporan asli. Pengembang yang menginstal paket jahat kapan saja harus merotasi semua token dan kata sandi akun dan menginstal ulang OS mereka.
Masa depan infrastruktur TI telah tiba
Infrastruktur TI modern bergerak lebih cepat dibandingkan dengan alur kerja manual.
Dalam panduan Tines baru ini, pelajari bagaimana tim Anda dapat mengurangi penundaan manual yang tersembunyi, meningkatkan keandalan melalui respons otomatis, dan membangun serta menskalakan alur kerja cerdas di atas alat yang sudah Anda gunakan.
