Socket Threat Research baru saja membongkar infrastruktur GitHub yang dipakai hacker Korea Utara (DPRK) dalam kampanye "Contagious Interview".
Targetnya? Developer Blockchain & Web3 yang lagi cari kerja. Ini bedahannya:
1. ⚠️ Problem Statement (Masalah)
🎣 Fake Job Interview: Hacker menyamar sebagai rekruter, mengajak developer wawancara kerja atau "tes koding".
📦 Malicious Packages: Korban diminta mengunduh/menggunakan package npm tertentu (seperti tailwind-magic atau node-tailwind) yang kelihatannya sah, tapi sebenarnya sudah disisipi backdoor.
📈 Scale: Sejak Oktober 2025, Socket menemukan 197 package berbahaya baru dengan lebih dari 31.000 unduhan. Ini serangan masif dan sistematis.
2. 🛠️ Metodologi Serangan (The Stack)
Hacker menggunakan infrastruktur modern yang rapi:
🐙 GitHub (Lure): Akun stardev0914 (sekarang sudah dihapus) menampung repositori proyek kripto palsu (seperti kloningan DEX) yang tampak profesional untuk meyakinkan korban.
▲ Vercel (Staging): Payload malware tidak disimpan langsung di npm. Package npm hanya berfungsi sebagai loader yang mengambil kode jahat dari server Vercel (tetrismic.vercel.app) secara real-time saat diinstall.
🍪 OtterCookie (Malware): Varian malware baru yang menggabungkan kemampuan Infostealer dan Remote Access Trojan (RAT). Bisa mencuri clipboard, screenshot, dan kunci dompet kripto di Windows, macOS, dan Linux.
3. 📈 Findings & Dampak
🔓 Full Compromise: Begitu developer menjalankan npm install, malware langsung aktif, memberikan akses remote shell ke hacker.
💰 Crypto Theft: Tujuan utamanya jelas: menguras dompet digital developer dan mencuri kredensial akses ke infrastruktur perusahaan Web3 tempat mereka bekerja.
🔄 Evasion: Malware ini pintar. Dia ngecek dulu apakah sedang berjalan di VM/Sandbox (seperti VMware/VirtualBox). Kalau iya, dia bakal diam biar nggak ketahuan analis keamanan.
4. 💡 Key Takeaways
🚫 Trust No One: Jangan asal jalankan kode tes wawancara dari perusahaan yang belum kamu verifikasi 100%.
🔍 Audit Dependencies: Hati-hati dengan typosquatting (nama mirip library asli, misal tailwind-magic vs tailwind-merge). Cek siapa maintainer-nya.
🛡️ Lock Down CI/CD: Batasi akses jaringan (egress) di mesin build kamu. Jangan biarkan npm menghubungi server aneh saat install.
🔗 Baca Laporan Lengkapnya:
https://socket.dev/blog/north-korea-contagious-interview-npm-attacks
#CyberSecurity #NPM #SupplyChainAttack #DPRK #NorthKorea #Web3Security #DevSecOps #MalwareAnalysis #SocketDev