Sebuah operasi pencurian data global berskala besar baru saja terungkap dengan metode yang cukup cerdik. Sejumlah peneliti keamanan siber menemukan malware bernama Omnistealer yang menyasar para pengembang perangkat lunak dan pekerja lepas melalui tawaran pekerjaan palsu di LinkedIn dan GitHub.
Serangan ini disebut-sebut memiliki potensi dampak yang setara dengan serangan siber besar seperti WannaCry. Yang membuatnya berbeda, Omnistealer menggunakan teknologi blockchain publik bukan hanya untuk transaksi pembayaran, tetapi sebagai bagian dari sistem pengiriman kode berbahayanya.
Menurut Nick Smart, Chief Intelligence Officer di Crystal Intelligence, desain Omnistealer sebenarnya cukup sederhana untuk dipicu namun sangat kompleks secara teknis. Awalnya, korban diminta menjalankan potongan kode yang terlihat normal, demikian dikutip detikINET dari Techspot, Rabu (1/4/2026).
Kode tersebut kemudian akan terhubung ke blockchain TRON atau Aptos untuk membaca data tersembunyi, yang selanjutnya mengarahkan sistem ke Binance Smart Chain guna mengambil kode berbahaya final.
Begitu payload terakhir dieksekusi, malware ini akan menguras hampir seluruh isi perangkat korban. Berdasarkan temuan tim Ransom-ISAC, Omnistealer mampu menargetkan lebih dari 60 ekstensi dompet kripto, termasuk MetaMask dan Coinbase. Selain itu, malware ini menyasar lebih dari 10 pengelola kata sandi, berbagai browser populer seperti Chrome dan Firefox, hingga layanan awan seperti Google Drive.
Sejauh ini, penyelidik telah mengaitkan sekitar 300.000 kredensial yang dicuri dari operasi ini. Data yang bocor mencakup informasi sensitif dari firma keamanan siber, perusahaan pertahanan, hingga lembaga pemerintah di sejumlah negara.
Strategi penyerangan dilakukan dengan dua peran utama. Pertama, pelaku menyamar sebagai perekrut dari perusahaan ternama yang mencari tenaga kontrak untuk mengerjakan proyek uji coba. Kedua, mereka berpura-pura menjadi pengembang freelance yang mengirimkan pull request berisi malware tersembunyi di GitHub.
Peneliti mencatat bahwa developer di Asia Selatan, khususnya India, menjadi sasaran utama. Hal ini dikarenakan pertumbuhan jumlah pengembang di wilayah tersebut sangat pesat dan tingkat adopsi kripto yang tinggi, sehingga tawaran pekerjaan asing dengan bayaran menggiurkan sering kali sulit diabaikan.
Jejak digital dari infrastruktur serangan ini mengarah pada aktivitas kelompok peretas yang didukung negara, dalam hal ini Korea Utara. Penyelidik menemukan alamat IP yang berlokasi di Vladivostok, Rusia, yang sebelumnya sering dikaitkan dengan operasi siber negara tersebut. Beberapa dompet kripto yang digunakan juga cocok dengan aset yang terlihat dalam pencurian besar di bursa kripto Bybit pada awal 2025.
Nick Carlsen dari TRM Labs menjelaskan bahwa tujuan utama operasi ini kemungkinan besar adalah finansial untuk mendanai program militer. Namun, banyaknya kredensial yang dicuri juga bisa digunakan untuk membangun profil identitas palsu bagi pekerja IT Korea Utara agar bisa menembus pasar kerja internasional secara ilegal.
Simak Video "Video: Hati-hati! Ini Tandanya Jika Akun Gmail Sudah Diretas"
(asj/asj)