ASIAWORLDVIEW – Perusahaan keamanan siber Amerika Serikat (AS) menyatakan bahwa peretas Korea Utara telah mengubah salah satu perpustakaan perangkat lunak paling banyak digunakan di dunia menjadi sistem pengiriman malware. Dalam laporan pekan lalu, peneliti di Socket, sebuah perusahaan keamanan rantai pasokan, mengatakan mereka menemukan lebih dari 300 paket kode berbahaya yang diunggah ke registri npm, repositori pusat yang digunakan jutaan pengembang untuk berbagi dan menginstal perangkat lunak JavaScript.
Paket-paket tersebut—potongan kode yang dapat digunakan ulang dalam berbagai aplikasi, mulai dari situs web hingga aplikasi kripto—dirancang agar terlihat tidak berbahaya. Namun, setelah diunduh, paket-paket tersebut menginstal malware yang mampu mencuri kata sandi, data browser, dan kunci dompet kripto, mengutip Decrypt, Kamis (16/10/2025).
Socket mengatakan kampanye yang mereka sebut “Contagious Interview” merupakan bagian dari operasi canggih yang dijalankan oleh peretas Korea Utara yang didukung negara, yang menyamar sebagai perekrut teknologi untuk menargetkan pengembang yang bekerja di industri blockchain, Web3, dan bidang terkait.
Baca Juga: Ternyata Ini Tantangan Terbesar dalam Penerapan Teknologi AI
Peneliti Socket melacak kampanye tersebut melalui sekelompok nama paket yang mirip—versi yang salah eja dari perpustakaan populer seperti express, dotenv, dan hardhat—serta melalui pola kode yang terkait dengan keluarga malware Korea Utara yang telah diidentifikasi sebelumnya, yaitu BeaverTail dan InvisibleFerret. Para penyerang menggunakan skrip “loader” terenkripsi yang mendekripsi dan menjalankan muatan tersembunyi langsung di memori, meninggalkan sedikit jejak di disk.
Perusahaan tersebut mengatakan sekitar 50.000 unduhan paket berbahaya terjadi sebelum banyak di antaranya dihapus, meskipun beberapa masih tersedia secara online. Para peretas juga menggunakan akun perekrut LinkedIn palsu, taktik yang konsisten dengan kampanye spionase siber DPRK sebelumnya yang didokumentasikan oleh Badan Keamanan Siber dan Infrastruktur AS (CISA). Target akhir, menurut penyelidik, adalah mesin yang menyimpan kredensial akses dan dompet digital.
Meskipun temuan Socket sejalan dengan laporan dari kelompok keamanan lain dan lembaga pemerintah yang mengaitkan Korea Utara dengan pencurian kripto senilai miliaran dolar, verifikasi independen setiap detail—seperti jumlah pasti paket yang disusupi—masih menunggu. Namun, bukti teknis dan pola yang dijelaskan konsisten dengan insiden sebelumnya yang dikaitkan dengan Pyongyang.
Pemilik Npm, GitHub, telah menyatakan bahwa mereka menghapus paket berbahaya saat ditemukan dan sedang meningkatkan persyaratan verifikasi akun. Namun, pola ini, menurut peneliti, mirip dengan permainan whack-a-mole: menghapus satu set paket berbahaya, lalu muncul lagi yang lain.
