Liputan6.com, Jakarta Peneliti keamanan siber dari SentinelLabs, divisi riset milik SentinelOne, baru-baru ini membongkar kampanye peretasan tingkat lanjut yang menyasar pengguna macOS. Serangan ini dijuluki NimDoor, dan diyakini berasal dari aktor ancaman yang berafiliasi dengan Korea Utara (DPRK).
Target utamanya? Komunitas dan pelaku bisnis Web3 berskala kecil, termasuk investor kripto yang kerap menggunakan perangkat Mac untuk keperluan kerja maupun pengelolaan aset digital.
Advertisement
Modus Kreatif Mengelabui Korban
dikutip dari cryptopotato, Jumat (4/7/2025), skema yang digunakan peretas terbilang rumit namun efektif. Serangan dimulai dengan penyamaran sebagai pihak terpercaya yang ingin menjadwalkan rapat melalui Calendly. Korban kemudian menerima email palsu yang meminta pembaruan aplikasi Zoom.
Tanpa disadari, saat korban mengklik tautan pembaruan tersebut, dua file berbahaya langsung diunduh ke sistem Mac mereka. File ini meluncurkan dua proses terpisah:
- Pertama, mengambil informasi sistem dan data aplikasi.
- Kedua, memberi akses jangka panjang ke perangkat korban.
Lebih lanjut, malware juga menyusupkan dua skrip Trojan Bash yang secara spesifik mencuri data dari browser seperti Chrome, Firefox, Brave, Arc, dan Edge, serta mengekstrak informasi terenkripsi dari Telegram, termasuk blob dekripsinya.
Metode ini sangat sulit dideteksi karena menggunakan kombinasi bahasa pemrograman Nim, berbagai komponen malware, dan teknik penyamaran tingkat lanjut.
Menurut SentinelLabs, skema serupa telah terdeteksi sebelumnya oleh Huntabil.IT (April 2025) dan Huntress (Juni 2025), menunjukkan bahwa kelompok peretas ini konsisten mengejar target-target Web3 secara global.
Investigasi ZachXBT: Ikuti Aliran Uangnya
Peneliti blockchain independen ZachXBT juga mengungkap pola pendanaan mencurigakan yang mengaitkan pekerja TI Korea Utara dengan berbagai proyek kripto.
Dalam temuan yang dipublikasikan di platform X, ia berhasil melacak lebih dari $2,76 juta dalam USDC yang ditransfer dari akun Circle ke delapan individu yang bekerja di 12 proyek berbeda. Beberapa alamat wallet yang digunakan mirip dengan alamat yang sudah masuk daftar hitam Tether pada 2023 karena terkait dengan tersangka Sim Hyon Sop.
“Saya yakin bahwa ketika sebuah tim merekrut banyak pekerja IT DPRK, itu merupakan indikator bahwa perusahaan rintisan tersebut akan gagal,” tulis ZachXBT. “Bukan karena pekerja ini canggih, tapi karena timnya lalai.”
Ia juga menambahkan bahwa jika pekerja DPRK mendapatkan akses ke kontrak pintar (smart contract), maka proyek tersebut berisiko tinggi untuk dibajak atau dieksploitasi.
Waspada Bagi Komunitas Kripto
Serangan ini menjadi pengingat penting bagi investor dan proyek kripto, terutama yang berbasis Web3, untuk meningkatkan kewaspadaan terhadap serangan sosial engineering yang tampak sederhana namun membawa malware kompleks.
Jika Anda mengelola wallet, aplikasi, atau smart contract menggunakan perangkat Mac, hindari mengklik tautan tidak resmi, dan selalu verifikasi permintaan update software dari situs resminya.