Lembaga keamanan SlowMist merilis peringatan darurat. Organisasi Korea Utara Lazarus, melalui suborganisasi HexagonalRodent yang berada di bawahnya, melancarkan serangan terhadap pengembang Web3. Dengan teknik social engineering seperti tawaran gaji tinggi untuk pekerjaan jarak jauh, penyerang membujuk pengembang agar menjalankan kode penilaian keahlian yang mencakup backdoor perangkat lunak berbahaya, lalu akhirnya mencuri aset kripto. Berdasarkan laporan investigasi Expel, pada tiga bulan pertama tahun 2026, nilai kerugian mencapai 12 juta dolar AS.
Metode Serangan: Kode penilaian keahlian adalah pintu masuk infeksi utama
Penyerang pertama-tama menghubungi target melalui LinkedIn atau platform rekrutmen, atau membuat situs web perusahaan palsu untuk memublikasikan lowongan. Dengan alasan “penilaian keterampilan dari rumah”, penyerang membuat pengembang menjalankan kode berbahaya. Kode penilaian tersebut mencakup dua jalur infeksi:
Serangan VSCode tasks.json: Penanaman kode berbahaya ke dalam file tasks.json yang menyertakan perintah runOn: folderOpen, sehingga pengembang hanya perlu membuka folder berisi file kode di VSCode, dan perangkat lunak berbahaya akan langsung dijalankan secara otomatis.
Backdoor tertanam dalam kode: Kode penilaian itu sendiri menyisipkan backdoor; saat kode dieksekusi, infeksi dipicu, memberikan jalur alternatif bagi pengembang yang tidak menggunakan VSCode.
Perangkat lunak berbahaya yang digunakan meliputi: BeaverTail (alat pencurian serbaguna NodeJS), OtterCookie (NodeJS reverse shell), dan InvisibleFerret (Python reverse shell).
Serangan rantai pasokan pertama: Ekstensi fast-draft VSX disusupi
Pada 18 Maret 2026, HexagonalRodent melancarkan serangan rantai pasokan terhadap ekstensi VSCode “fast-draft”, menyebarkan perangkat lunak berbahaya OtterCookie melalui ekstensi yang telah dirusak. SlowMist mengonfirmasi bahwa pada 9 Maret 2026, seorang pengguna dengan nama yang sama seperti pengembang ekstensi fast-draft telah terinfeksi OtterCookie.
Jika Anda mencurigai sistem telah terinfeksi, Anda dapat menggunakan perintah berikut untuk memeriksa apakah tersambung ke server C2 yang diketahui (195.201.104[.]53): MacOS/Linux:netstat -an | grep 195.201.104.53 Windows:netstat -an | findstr 195.201.104.53
Penyalahgunaan alat AI: ChatGPT dan Cursor dikonfirmasi digunakan secara berbahaya
HexagonalRodent secara besar-besaran menggunakan ChatGPT dan Cursor untuk membantu serangan, termasuk menghasilkan kode berbahaya dan membangun situs web perusahaan palsu. Tanda kunci untuk mengenali kode berbahaya yang dihasilkan AI adalah penggunaan emoji dalam jumlah besar di dalam kode (sangat jarang dalam kode yang ditulis tangan).
Cursor telah memblokir akun dan IP terkait dalam satu hari kerja; OpenAI mengonfirmasi menemukan penggunaan ChatGPT yang terbatas, dan menyatakan bahwa bantuan yang dicari oleh akun-akun tersebut termasuk dalam skenario dual-use penggunaan yang sah untuk keamanan, serta tidak ditemukan aktivitas pengembangan malware yang berkelanjutan. Telah dikonfirmasi bahwa setidaknya 13 aliran dana dari dompet yang terinfeksi mengarah ke alamat Ethereum Korea Utara yang diketahui, dengan dana yang diterima lebih dari 1,1 juta dolar AS.
Pertanyaan yang Sering Diajukan
Bagaimana pengembang Web3 dapat melindungi diri dari serangan semacam ini?
Langkah perlindungan inti meliputi: (1) meningkatkan kewaspadaan tinggi terhadap pihak rekrutmen yang tidak dikenal, terutama peluang yang meminta penyelesaian penilaian kode dari rumah; (2) membuka repositori kode yang tidak familiar di lingkungan sandbox, bukan pada sistem utama; (3) memeriksa secara berkala file tasks.json milik VSCode untuk memastikan tidak ada tugas runOn: folderOpen yang tidak diotorisasi; (4) menggunakan kunci keamanan perangkat keras untuk melindungi dompet kripto.
Bagaimana cara memastikan sistem saya telah terinfeksi?
Jalankan perintah pemeriksaan cepat: pengguna MacOS/Linux menjalankan netstat -an | grep 195.201.104.53, pengguna Windows menjalankan netstat -an | findstr 195.201.104.53. Jika ditemukan koneksi persisten ke server C2 yang diketahui, segera putuskan jaringan dan lakukan pemindaian malware menyeluruh.
Mengapa HexagonalRodent memilih NodeJS dan Python sebagai bahasa untuk malware?
Pengembang Web3 biasanya sudah menginstal NodeJS dan Python di sistem mereka, sehingga proses berbahaya dapat menyatu dengan aktivitas normal pengembang tanpa memicu peringatan. Kedua bahasa ini bukan target utama pemantauan dalam sistem anti-malware tradisional; ditambah dengan penggunaan alat pengaburan kode komersial, membuat deteksi berbasis signature menjadi sangat sulit.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
