Tempat paling berbahaya di crypto saat ini bukanlah protokol DeFi atau bursa terpusat. Ini adalah wawancara kerja.
Grup Lazarus dari Korea Utara telah sepenuhnya mengubah strategi serangannya dan metode baru ini benar-benar mengganggu dengan betapa sederhana dan efektifnya. Peneliti di OpenSourceMalware mengonfirmasi pada 6 Mei bahwa Lazarus sekarang menyembunyikan pemuat malware tahap kedua langsung di dalam Git Hooks — khususnya di skrip pre-commit dari repositori yang diminta kepada pengembang untuk di-clone sebagai bagian dari wawancara kerja palsu.
Ini adalah cara kerja serangan tersebut. Seorang pengembang didekati di LinkedIn atau platform pekerjaan oleh sosok yang terlihat seperti perekrut sah dari perusahaan crypto atau DeFi. Pengembang diundang untuk menyelesaikan penilaian teknis. Mereka mengkloning repositori. Saat mereka menjalankan perintah git rutin — sesuatu yang standar seperti git merge atau git pull — skrip pre-commit menyala diam-diam di latar belakang. Skrip itu mengambil BeaverTail, infostealer JavaScript yang dibuat oleh Lazarus. BeaverTail kemudian menginstal InvisibleFerret, backdoor Python yang memberikan akses jarak jauh yang persisten ke seluruh mesin. Tidak ada biner mencurigakan. Tidak ada prompt instalasi. Tidak ada peringatan. Mesin sudah sepenuhnya dikompromikan sebelum pengembang menyelesaikan penilaian.
Ini bukan grup baru yang mencari pijakan. Ini adalah operasi yang didanai negara yang telah mencuri lebih dari lima miliar dolar dalam cryptocurrency antara 2021 dan 2025. Pada Februari 2025, mereka mencuri 1,5 miliar dolar dari Bybit dalam satu serangan — perampokan crypto terbesar dalam sejarah. Pada April 2026, hanya tiga minggu yang lalu, mereka terhubung ke eksploitasi KelpDAO senilai 290 juta dolar. AS, Jepang, dan Korea Selatan secara resmi mengonfirmasi bahwa Lazarus mencuri 660 juta dolar dalam crypto hanya pada tahun 2024. Korea Utara menggunakan setiap dolar untuk mendanai program senjata nuklirnya.
Kampanye Mach-O Man April 2026 menunjukkan bahwa mereka juga menargetkan eksekutif di perusahaan crypto dan fintech melalui pertemuan online palsu di macOS. Kampanye GitHub C2 yang ditemukan pada bulan April menggunakan GitHub itu sendiri sebagai server perintah dan kontrol — mengarahkan lalu lintas berbahaya melalui salah satu platform paling terpercaya di internet sehingga firewall tidak akan menandainya.
Para peneliti memiliki satu rekomendasi yang jelas. Jangan pernah mengkloning repositori yang Anda terima melalui tawaran pekerjaan atau proses perekrutan tanpa menjalankannya di lingkungan yang sepenuhnya terisolasi. Simpan kunci SSH, kredensial browser, dan frasa benih dompet crypto Anda di mesin yang tidak pernah menyentuh kode yang tidak diminta. Jika seorang perekrut mengirimkan repositori untuk diuji, perlakukan itu sebagai senjata yang dimuat hingga terbukti sebaliknya.
Pasar kerja di crypto itu nyata. Begitu juga orang-orang yang berburu di dalamnya.
Tetap waspada.
$BTC $ETH $BNB #CryptoSecurity #LazarusGroup #HackerAlert #Web3Security #dyor
