Bisnis.com, JAKARTA – Laporan tim Threat Intelligence Google mengungkapkan kelompok peretas asal Korea Utara kembali melancarkan serangan siber dengan teknik baru yang memanfaatkan teknologi blockchain.

Menurut laporan, para pelaku menggunakan metode bernama EtherHiding, yaitu cara menyembunyikan kode berbahaya di dalam smart contract blockchain agar lolos dari sistem deteksi dan mencuri aset kripto maupun data pribadi korban.

Mengutip The Register, kelompok yang dilacak Google dengan nama sandi UNC5342 diketahui mulai menggunakan teknik ini sejak Februari 2025 dalam kampanye bernama Contagious Interview.

Baca Juga

Skemanya mirip dengan operasi terkenal Dream Job milik grup Lazarus, yang menipu para pencari kerja melalui lowongan palsu.

Namun, kali ini target utamanya adalah pengembang perangkat lunak, terutama yang bekerja di bidang teknologi dan kripto. Para peretas berpura-pura menjadi perekrut dari perusahaan ternama di LinkedIn atau situs lowongan kerja lain.

Setelah berhasil membangun kepercayaan, mereka mengajak korban berpindah komunikasi ke Telegram atau Discord dan mengirimkan tes pemrograman palsu berupa file yang ternyata berisi malware.

Baca Juga

File tersebut memicu proses infeksi bertahap. Pertama, downloader awal yang diunggah di repositori npm akan mengunduh malware tahap kedua seperti BEAVERTAIL atau JADESNOW. Kedua malware ini dirancang untuk mencuri dompet kripto, data ekstensi browser, serta kredensial login pengguna.

Hal yang membuatnya lebih berbahaya, JADESNOW memanfaatkan EtherHiding untuk mengambil dan mengeksekusi muatan berbahaya dari smart contract di jaringan BNB Smart Chain dan Ethereum.

Dari situ, sistem korban disusupi kembali oleh backdoor bernama INVISIBLEFERRET, yang memberi peretas akses jarak jauh dan kendali penuh terhadap komputer korban.

Baca Juga

Menurut Google, INVISIBLEFERRET — berbasis JavaScript dengan komponen tambahan Python — memungkinkan pelaku memata-matai aktivitas pengguna, mencuri aset digital, hingga berpindah ke jaringan internal perusahaan.

Berbeda dengan server pusat biasa, blockchain bersifat terdesentralisasi sehingga tidak bisa dimatikan atau dilacak dengan mudah oleh aparat penegak hukum. Penyerang dapat menyembunyikan kode berbahaya di dalam smart contract dan mengambil data lewat read-only call, tanpa meninggalkan jejak transaksi.

“EtherHiding menandai pergeseran ke arah bentuk bulletproof hosting generasi baru, di mana fitur bawaan blockchain justru dimanfaatkan untuk tujuan jahat,” tulis peneliti Google Blas Kojusner, Robert Wallace, dan Joseph Dobson dalam laporan mereka, dikutip Bisnis, Jumat (17/10/2025).

Google merekomendasikan beberapa langkah mitigasi, termasuk memblokir unduhan berbahaya dengan membatasi jenis file seperti .exe, .msi, .bat, dan .dll.

Selain itu, administrator sistem disarankan untuk memblokir akses ke situs atau node blockchain berisiko tinggi, serta menerapkan kebijakan safe browsing yang memanfaatkan real-time threat intelligence untuk memperingatkan pengguna terhadap situs phishing dan file mencurigakan.

Dengan metode EtherHiding ini, serangan siber berbasis blockchain diperkirakan akan semakin sulit diberantas, mengingat teknologi yang awalnya dirancang untuk keamanan dan transparansi kini dimanipulasi menjadi alat kejahatan digital.