Socket Threat Research baru saja membongkar infrastruktur GitHub yang dipakai hacker Korea Utara (DPRK) dalam kampanye "Contagious Interview".
Targetnya? Developer Blockchain & Web3 yang lagi cari kerja. Ini bedahannya:
1. β οΈ Problem Statement (Masalah)
π£ Fake Job Interview: Hacker menyamar sebagai rekruter, mengajak developer wawancara kerja atau "tes koding".
π¦ Malicious Packages: Korban diminta mengunduh/menggunakan package npm tertentu (seperti tailwind-magic atau node-tailwind) yang kelihatannya sah, tapi sebenarnya sudah disisipi backdoor.
π Scale: Sejak Oktober 2025, Socket menemukan 197 package berbahaya baru dengan lebih dari 31.000 unduhan. Ini serangan masif dan sistematis.
2. π οΈ Metodologi Serangan (The Stack)
Hacker menggunakan infrastruktur modern yang rapi:
π GitHub (Lure): Akun stardev0914 (sekarang sudah dihapus) menampung repositori proyek kripto palsu (seperti kloningan DEX) yang tampak profesional untuk meyakinkan korban.
β² Vercel (Staging): Payload malware tidak disimpan langsung di npm. Package npm hanya berfungsi sebagai loader yang mengambil kode jahat dari server Vercel (tetrismic.vercel.app) secara real-time saat diinstall.
πͺ OtterCookie (Malware): Varian malware baru yang menggabungkan kemampuan Infostealer dan Remote Access Trojan (RAT). Bisa mencuri clipboard, screenshot, dan kunci dompet kripto di Windows, macOS, dan Linux.
3. π Findings & Dampak
π Full Compromise: Begitu developer menjalankan npm install, malware langsung aktif, memberikan akses remote shell ke hacker.
π° Crypto Theft: Tujuan utamanya jelas: menguras dompet digital developer dan mencuri kredensial akses ke infrastruktur perusahaan Web3 tempat mereka bekerja.
π Evasion: Malware ini pintar. Dia ngecek dulu apakah sedang berjalan di VM/Sandbox (seperti VMware/VirtualBox). Kalau iya, dia bakal diam biar nggak ketahuan analis keamanan.
4. π‘ Key Takeaways
π« Trust No One: Jangan asal jalankan kode tes wawancara dari perusahaan yang belum kamu verifikasi 100%.
π Audit Dependencies: Hati-hati dengan typosquatting (nama mirip library asli, misal tailwind-magic vs tailwind-merge). Cek siapa maintainer-nya.
π‘οΈ Lock Down CI/CD: Batasi akses jaringan (egress) di mesin build kamu. Jangan biarkan npm menghubungi server aneh saat install.
π Baca Laporan Lengkapnya:
https://socket.dev/blog/north-korea-contagious-interview-npm-attacks
#CyberSecurity #NPM #SupplyChainAttack #DPRK #NorthKorea #Web3Security #DevSecOps #MalwareAnalysis #SocketDev