Wawancara kerja ternyata jebakan peretas Korea Utara! PurpleBravo menyerang lebih dari 3.100 alamat IP, perusahaan AI dan cryptocurrency menjadi mangsa terbesar

Terkait kelompok peretas yang berhubungan dengan Korea Utara baru-baru ini melancarkan gelombang serangan siber baru, melalui proses wawancara kerja palsu dan proses perekrutan teknologi, untuk melakukan infiltrasi terhadap perusahaan-perusahaan di seluruh dunia yang bergerak di bidang kecerdasan buatan (AI), mata uang kripto, dan layanan keuangan, dengan lebih dari 3.100 alamat IP yang terdampak, menunjukkan skala dan tingkat kecanggihan operasi mereka terus meningkat.

Menurut penelitian terbaru dari Insikt Group, bagian dari perusahaan intelijen ancaman Recorded Future, operasi ini dipimpin oleh kelompok peretas yang dikenal sebagai PurpleBravo. Organisasi ini diduga memiliki kaitan dengan pasukan siber Korea Utara, dan selama setahun terakhir terlibat dalam beberapa pencurian mata uang kripto, dengan total pendapatan ilegal mencapai puluhan miliar dolar.

假面試真攻擊，求職流程成為滲透入口

Para peneliti keamanan siber menunjukkan bahwa PurpleBravo menggunakan metode yang disebut “Wawancara Menular (Contagious Interview)”, di mana peretas menyamar sebagai perekrut dari perusahaan teknologi atau perusahaan mata uang kripto, menghubungi insinyur dan pengembang secara aktif, dan mengundang mereka untuk mengikuti wawancara teknis.

Selama proses wawancara, korban sering diminta untuk memeriksa kode, menyalin repositori GitHub, atau menjalankan tugas pengembangan tertentu. Namun, konten pengujian yang tampaknya normal ini sebenarnya menyembunyikan kode berbahaya. Setelah dijalankan di komputer perusahaan, hal ini dapat memungkinkan peretas mendapatkan akses lebih jauh ke sistem, risiko tidak hanya terbatas pada akun pribadi, tetapi juga dapat menyebar ke seluruh jaringan internal organisasi.

攻擊遍及多地，科技與金融成主要目標

Insikt Group menyatakan bahwa selama periode pemantauan, setidaknya 3.136 alamat IP menjadi target serangan, dan lebih dari 20 organisasi yang terdampak telah dikonfirmasi, tersebar di Asia Selatan, Amerika Utara, Eropa, Timur Tengah, dan Amerika Tengah.

Penelitian menunjukkan bahwa serangan semacam ini sangat memfokuskan pada industri yang mengelola data besar dan aliran dana yang sering, termasuk perusahaan pengembangan AI, perusahaan terkait perdagangan mata uang kripto, dan lembaga layanan keuangan, menunjukkan bahwa sasaran peretas tidak hanya pencurian intelijen, tetapi juga pencurian dana atau infiltrasi jangka panjang.

多重假身分與惡意工具，手法持續進化

Unit keamanan siber juga menemukan bahwa operasi peretasan ini menggunakan banyak identitas palsu, sering mengaku berasal dari Ukraina, dan melalui platform seperti GitHub, LinkedIn, Upwork, dan lain-lain, menjangkau pencari kerja untuk meningkatkan kredibilitas. Di baliknya, digunakan berbagai perangkat lunak berbahaya lintas platform untuk mencuri kredensial browser, Cookie, bahkan melakukan kontrol jarak jauh.

Selain itu, para peneliti juga memperingatkan bahwa peretas mulai memanfaatkan alat pengembangan yang telah dimodifikasi, seperti proyek Visual Studio Code yang disusupi backdoor, yang jika pengguna membuka proyek tersebut setelah memberikan izin kepercayaan, dapat menjalankan perintah berbahaya tanpa disadari.

專家提醒：求職與開發流程需提高警覺

Para ahli keamanan siber mengingatkan bahwa seiring dengan meningkatnya kerja jarak jauh dan perekrutan online, peretas secara aktif memanfaatkan “proses pencarian kerja” sebagai senjata. Insinyur dan perusahaan harus berhati-hati terhadap keaslian sumber tawaran, kode pengujian, atau kolaborasi proyek yang tidak dikenal, dan menghindari menjalankan kode yang tidak terverifikasi di perangkat perusahaan, untuk mengurangi risiko serangan tingkat organisasi.