
Grup Lazarus yang terkait dengan Korea Utara telah dikaitkan dengan kampanye serangan siber baru yang dijuluki Operasi 99 yang menargetkan pengembang perangkat lunak yang mencari pekerjaan lepas Web3 dan mata uang kripto untuk mengirimkan malware.
“Kampanye dimulai dengan perekrut palsu, berpose di platform seperti LinkedIn, memikat pengembang dengan tes proyek dan tinjauan kode,” kata Ryan Sherstobitoff, wakil presiden senior Riset dan Intelijen Ancaman di SecurityScorecard, dalam laporan baru yang diterbitkan hari ini.
“Setelah korban mengambil umpan, mereka diarahkan untuk mengkloning repositori GitLab yang berbahaya – tampaknya tidak berbahaya, namun penuh dengan bencana. Kode yang dikloning terhubung ke server command-and-control (C2), menanamkan malware ke dalam lingkungan korban.”
Korban kampanye ini telah diidentifikasi di seluruh dunia, dengan konsentrasi yang signifikan tercatat di Italia. Jumlah korban yang terkena dampak lebih sedikit berada di Argentina, Brazil, Mesir, Perancis, Jerman, India, india, Meksiko, Pakistan, Filipina, Inggris, dan Amerika Serikat.

Perusahaan keamanan siber tersebut mengatakan bahwa kampanye tersebut, yang ditemukan pada tanggal 9 Januari 2025, didasarkan pada taktik bertema pekerjaan yang sebelumnya diamati dalam serangan Lazarus, seperti Operation Dream Job (alias NukeSped), untuk secara khusus berfokus pada penargetan pengembang di bidang Web3 dan mata uang kripto.
Apa yang membuat Operasi 99 unik adalah ia memikat pengembang dengan proyek pengkodean sebagai bagian dari skema rekrutmen rumit yang melibatkan pembuatan profil LinkedIn yang menipu, yang kemudian digunakan untuk mengarahkan mereka ke repositori GitLab yang jahat.

Tujuan akhir dari serangan ini adalah untuk menyebarkan implan pencuri data yang mampu mengekstraksi kode sumber, rahasia, kunci dompet mata uang kripto, dan data sensitif lainnya dari lingkungan pengembangan.
Ini termasuk Main5346 dan variannya Main99, yang berfungsi sebagai pengunduh untuk tiga muatan tambahan –
- Payload99/73 (dan Payload5346 yang fungsinya mirip), yang mengumpulkan data sistem (misalnya, file dan konten clipboard), menghentikan proses browser web, mengeksekusi secara sewenang-wenang, dan membuat koneksi persisten ke server C2
- Brow99/73, yang mencuri data dari browser web untuk memfasilitasi pencurian kredensial
- MCLIP, yang memantau dan mengekstrak aktivitas keyboard dan clipboard secara real-time

“Dengan menyusupi akun pengembang, penyerang tidak hanya mengambil kekayaan intelektual tetapi juga mendapatkan akses ke dompet mata uang kripto, sehingga memungkinkan pencurian finansial langsung,” kata perusahaan itu. “Pencurian kunci pribadi dan rahasia yang ditargetkan dapat menyebabkan jutaan aset digital dicuri, sehingga meningkatkan tujuan keuangan Grup Lazarus.”
Arsitektur malware mengadopsi desain modular dan fleksibel, serta mampu bekerja di sistem operasi Windows, macOS, dan Linux. Hal ini juga berfungsi untuk menyoroti sifat ancaman siber suatu negara yang terus berkembang dan mudah beradaptasi.
“Bagi Korea Utara, peretasan adalah sumber pendapatan,” kata Sherstobitoff. “Grup Lazarus secara konsisten menyalurkan mata uang kripto yang dicuri untuk memenuhi ambisi rezim, dan mengumpulkan jumlah yang sangat besar. Dengan berkembangnya industri Web3 dan mata uang kripto, Operasi 99 memusatkan perhatian pada sektor-sektor dengan pertumbuhan tinggi ini.”