Kode Berbahaya Tersembunyi dalam Wawancara Kerja: Pengembang Web3 Ditargetkan Melalui Penipuan Deployment GitHub

Para peneliti keamanan di SlowMist telah mengungkap skema canggih di mana penipu yang menyamar sebagai tim Web3 berbasis di Ukraina menggunakan wawancara kerja palsu sebagai kedok untuk mendistribusikan repositori kode yang telah dikompromikan. Dalam insiden terbaru, seorang pengembang diminta menjalankan kode secara lokal dari repositori GitHub selama proses wawancara—permintaan yang bisa saja berakibat katastrofik.

Mekanisme Serangan: Apa yang Terjadi di Balik Layar

Setelah dijalankan, repositori yang tampak sah ini melancarkan serangan berlapis. Payload backdoor secara diam-diam menginstal dependensi berbahaya, mengubah lingkungan pengembangan korban menjadi gerbang untuk pencurian data. Malware ini secara khusus menargetkan:

• Data Penyimpanan Browser: ekstensi Chrome dan cache browser yang berisi file konfigurasi sensitif
• Kredensial Dompet: kunci pribadi, frase seed, dan pola pencipta mnemonic yang disimpan secara lokal
• Token Otentikasi: data sesi dan kredensial API yang dapat memberi akses kepada penyerang ke akun pengguna

Setelah data berhasil diambil, semua informasi yang dicuri diekstraksi ke server kendali dan perintah penyerang, memberi aktor jahat kendali penuh atas aset digital dan akun korban.

Mengapa Serangan Ini Efektif

Wawancara kerja menciptakan rasa legitimasi palsu. Pengembang merasa termotivasi untuk menunjukkan kemampuan mereka dan membuktikan nilai mereka kepada calon pemberi kerja. Dengan meminta eksekusi kode sebagai bagian dari “penilaian teknis,” penyerang memanfaatkan dinamika psikologis ini. Target biasanya adalah pengembang berpengalaman—tepatnya orang-orang yang mengelola frase mnemonic dan memegang aset cryptocurrency yang signifikan.

Langkah Perlindungan Penting

Jangan pernah menjalankan kode dari sumber yang tidak diverifikasi, terlepas dari konteks atau tekanan sosial. Sebelum menjalankan repositori apa pun:

• Verifikasi situs resmi organisasi dan profil LinkedIn secara independen
• Minta wawancara melalui saluran rekrutmen yang terpercaya saja
• Audit kode secara lokal tanpa menjalankannya terlebih dahulu
• Gunakan mesin virtual terisolasi untuk menguji kode yang tidak dikenal
• Jaga pemisahan ketat antara lingkungan pengembangan dan dompet yang menyimpan kunci sensitif

Insiden ini menunjukkan bagaimana rekayasa sosial yang dipadukan dengan eksploitasi teknis tetap menjadi salah satu vektor serangan paling efektif di Web3. Tetap waspada dan terapkan langkah verifikasi ini dapat mencegah kerugian yang besar.