Kaspersky menemukan kerangka malware baru yang menargetkan investor mata uang kripto, menurut laporan Rabu. Dinamai OkoBot, malware ini memulai rantai infeksi melalui taktik rekayasa sosial seperti ClickFix dan aplikasi GitHub yang dipasangi trojan, yang mengirimkan backdoor ke perangkat yang terinfeksi. Kaspersky mengidentifikasi beberapa serangan yang melibatkan keluarga malware ini sejak Januari 2026. Malware ini berevolusi dari TookPS, sebuah kampanye yang pertama kali diidentifikasi pada 2025 yang mendistribusikan pengunduh Trojan melalui situs web perangkat lunak palsu. Secara terpisah, SlowMist melaporkan pada Sabtu bahwa sebuah kampanye malware menargetkan pengembang Web3 melalui peluang rekrutmen LinkedIn palsu, dengan mengirimkan remote access trojans melalui repositori GitHub berbahaya yang disamarkan sebagai materi wawancara teknis.
Kerangka OkoBot Mengambil File Dompet melalui Arsitektur Terowongan SSH
Malware OkoBot dapat mengambil file dompet kripto, data browser, dan kredensial pengguna, menyuntikkan ekstensi berbahaya, serta menangkap jendela aplikasi dompet untuk mencuri aset, tulis Kaspersky dalam laporannya. Kerangka ini berbeda dari kampanye sebelumnya dengan mengorkestrasi semua 20 payload berbahaya melalui terowongan SSH, yang memungkinkan pengiriman jarak jauh data dari komputer yang terinfeksi ke mesin jarak jauh yang dikendalikan oleh penyerang. Kaspersky menambahkan bahwa kerangka malware ini membuka jalan bagi serangan tiruan.
Perekrut LinkedIn Palsu Mengirim Trojan melalui Repositori GitHub
Para penyerang menghubungi pengembang blockchain melalui LinkedIn, menyamar sebagai perekrut Web3, menurut SlowMist. Mereka mengirim repositori GitHub palsu kepada korban, dengan mengklaim bahwa repositori tersebut berisi produk minimum yang perlu dicoba sebelum wawancara, kata perusahaan keamanan blockchain itu dalam laporan Sabtu. Alur kerjanya sangat mirip dengan wawancara teknis yang sah, ketika pengembang mengambil kode, memasang dependensi, dan menjalankan sebuah proyek, sehingga serangan sulit dikenali. Malware ini bertujuan mengirim remote access trojan lengkap yang menginfeksi perangkat, memungkinkan penyerang mencuri kunci proyek, kredensial cloud, atau data ekstensi dompet dari para pengembang ini.
SlowMist Mengaitkan Serangan ke Kampanye Penargetan Pengembang yang Lebih Luas
SlowMist menulis bahwa serangan ini bukan kasus yang terisolasi, menambahkan bahwa insiden-insiden baru menunjukkan penyerang semakin memanfaatkan skenario seperti rekrutmen, code review, dan kolaborasi proyek untuk menipu pengembang agar secara aktif menjalankan repositori berbahaya. Laporan itu muncul sehari setelah SlowMist memperingatkan kampanye malware terpisah yang menargetkan pengguna macOS, bertujuan mencuri kredensial mereka dan membajak sesi Telegram mereka, untuk pada akhirnya menipu investor agar memasukkan frasa pemulihan dompet mereka melalui situs web palsu.
FAQ
Apa itu malware OkoBot dan kapan diidentifikasi?
OkoBot adalah kerangka malware yang menargetkan investor mata uang kripto yang ditemukan Kaspersky dalam laporan Rabu. Kaspersky mengidentifikasi beberapa serangan yang melibatkan keluarga malware ini sejak Januari 2026. Malware ini memulai rantai infeksi melalui taktik rekayasa sosial seperti ClickFix dan aplikasi GitHub yang dipasangi trojan.
Bagaimana kampanye rekrutmen LinkedIn palsu menargetkan pengembang Web3?
Para penyerang menghubungi pengembang blockchain melalui LinkedIn, menyamar sebagai perekrut Web3, menurut laporan Sabtu SlowMist. Mereka mengirim repositori GitHub palsu kepada korban, dengan mengklaim bahwa repositori tersebut berisi produk minimum yang perlu dicoba sebelum wawancara. Alur kerjanya menyerupai wawancara teknis yang sah, sehingga serangan sulit dikenali.
Data apa yang dicuri malware OkoBot dari perangkat yang terinfeksi?
Malware OkoBot dapat mengambil file dompet kripto, data browser, dan kredensial pengguna, menyuntikkan ekstensi berbahaya, serta menangkap jendela aplikasi dompet untuk mencuri aset, menurut Kaspersky. Kerangka ini mengorkestrasi semua 20 payload berbahaya melalui terowongan SSH, sehingga memungkinkan pengiriman jarak jauh data dari komputer yang terinfeksi ke mesin yang dikendalikan oleh penyerang.