Hacker Korea Utara Pakai Malware Mac untuk Sasar Perusahaan Kripto

Liputan6.com, Jakarta - Kelompok hacker Korea Utara menggunakan malware Mac canggih yang dikirim via Zoom, untuk membobol sistem perusahaan Web3 dan kripto.  

Selanjutnya, para hacker ini mencuri data sensitif sembari menghindari langkah-langkah keamanan standar yang diterapkan perusahaan-perusahaan. 

Mengutip Apple Insider, Sabtu (4/7/2025), hal ini berhasil diidentifikasi peneliti keamanan SentinelOne Labs.  

Dalam laporannya, peneliti keamanan menjelaskan pola serangan siber yang dilakukan adalah dengan serangan multi-tahap.

Rantai serangan ini menggabungkan rekayasa sosial alias social engineering AppleScripts yang menipu, dan biner yang dikompilasi dalam bahasa pemrograman Nim. 

Nim sendiri disebut tidaklah umum di Mac sehingga membuatnya lebih sulit untuk dideteksi.

Operasi serangan ini dijuluki “NimDoor”, memperlihatkan taktik yang berkembang oleh kelompok hacker Korea Utara DPRK. 

Tujuan kelompok hacker ini rupanya membobol pertahanan keamanan dan mencuri data sensitif dari bisnis yang berfokus pada perusahaan kripto. 

Pemerintah saat ini tengah gencar memburu hacker Bjorka. Sosok ini dikenal membocorkan data pelanggan Indihome, KPU, registrasi kartu SIM, hingga melakukan doxing pada sejumlah tokoh.

Kompromi awal kampanye ini dimulai dengan praktik social engineering atau rekayasa sosial. Penyerang dalam hal ini meniru kontak terpercaya melalui Telegram dan memikat korban untuk menjadwalkan Zoom meeting melalui tautan Calendly. 

Saat korban menerima email phishing dengan update SDK Zoom yang berbahaya, ternyata itu merupakan file AppleScript yang menjebak. 

Skrip ini memiliki ribuan baris padding yang berfungsi untuk menghindari deteksi dengan mengambil malware tambahan dari server yang dikendalikan penyerang, meniru domain Zoom yang sah. 

Setelah dieksekusi, skrip ini mengunduh muatan lebih lanjut ke perangkat korban. Para peneliti menemukan dua biner Mach-O utama.

Satu ditulis dalam bahasa pemrograman C++ dan satu lagi dalam Nim. Keduanya digunakan bersamaan untuk mempertahankan akses dan mencuri data. 

Malware tersebut menggunakan teknik tak biasa untuk Mac. Misalnya menginjeksi proses dengan hak khusus.

Malware ini juga menggunakan komunikasi terenkripsi melalui WebSockets terenkripsi TLS dan mekanisme lain berbasis sinyal. 

Mekanisme ini menginstalasi ulang malware ketika pengguna mencoba untuk menghentikannya atau ketika sistem reboot. 

Malware ini kemudian mengeksfiltrasi data melalui skrip Bash yang mengikis riwayat browser, kredensial Keychain, dan data Telegram. Adapun browser yang ditarget meliputi Arc, Brave, Firefox, Chrome, hingga Microsoft Edge.  

Malware juga mencuri basis data Telegram lokal yang dienkripsi untuk pemecahan offline. 

Persistensi itu kemudian dicapai melalui penggunaan MacOS LaunchAgents yang cerdas dan konvensi penamaan yang menipu.

Misalnya, malware menginstal biner dengan nama seperti Google LLC, mengganti huruf kapital i dengan huruf kecil L untuk menyamarkan dengan file Google yang sah. 

Biner lainnya, CoreKitAgent memantau sinyal sistem untuk menginstalasi ulang otomatis jika operasi dihentikan. 

SentinelOne menyebut, penggunaan Nim untuk biner ini mewakili evolusi dalam tool aktor ancaman.

Eksekusi waktu kompilasi Nim dan interleaving pengembang serta kode runtime membuat analisis statis lebih sulit. 

Pengguna perlu menghindari menjalankan skrip atau update software yang diterima melalui email atau pesan dari orang tak dikenal, atau jika tampaknya berasal dari kontak terpercaya. 

Pengguna juga harus teliti dalam memeriksa URL karena hacker kerap membuat domain yang mirip untuk mengelabui korban. 

Selanjutnya, perbarui MacOS dan semua aplikasi yang diinstal dengan patch terbaru. Aplikasi yang diupdate mengurangi kerentanan yang dieksploitasi oleh kampanye malware. 

Terakhir, gunakan kata sandi yang kuat dan unik serta aktifkan otentikasi multi-faktor jika tersedia.