Kelompok peretas yang dikaitkan dengan Korea Utara kembali menjadi sorotan setelah sejumlah peneliti keamanan siber mengungkap pola serangan yang menyasar developer melalui GitHub, proyek open-source, hingga paket perangkat lunak yang dipakai luas di ekosistem pengembangan aplikasi. Serangan ini dinilai berbahaya karena memanfaatkan kepercayaan developer terhadap repositori kode, library populer, dan workflow coding sehari-hari.
Dalam perkembangan terbaru, peneliti dari Google Threat Intelligence Group mengaitkan serangan rantai pasok (supply chain attack) pada library JavaScript populer Axios dengan aktor Korea Utara yang mereka lacak sebagai UNC1069. Serangan itu sempat menyisipkan malware ke pembaruan paket yang banyak dipakai untuk komunikasi antar-aplikasi dan layanan web.
Modusnya: Menjebak Developer Lewat Tool yang Terlihat Normal
Serangan semacam ini tidak lagi selalu datang dalam bentuk file mencurigakan atau email spam klasik. Kini, pelaku justru menyusup ke tempat yang dianggap aman oleh banyak programmer, seperti GitHub repository, npm package, dan proyek Visual Studio Code. Tujuannya adalah membuat korban mengunduh, membuka, atau menjalankan kode yang tampak sah tetapi sebenarnya sudah ditanami malware.
Dalam sejumlah kampanye yang diungkap peneliti, target kerap dipancing dengan tawaran kerja palsu, tes teknis, atau proyek coding yang terlihat profesional. Setelah korban meng-clone repository dan membukanya di editor seperti VS Code, malware dapat aktif di latar belakang tanpa disadari.
GitHub Jadi Jalur Masuk yang Efektif
GitHub menjadi sasaran empuk karena platform ini adalah tempat utama developer berbagi kode, dokumentasi, dan dependency. Jika pelaku berhasil menanam malware di proyek yang tampak meyakinkan, peluang korban untuk percaya dan menjalankannya menjadi jauh lebih besar. Bahkan, dalam kasus lain yang terungkap pekan ini, penyerang juga memanfaatkan fitur GitHub Discussions untuk mengirim peringatan keamanan palsu dan menggiring developer ke file berbahaya.
Ancaman ini semakin serius karena developer sering memiliki akses ke repository privat, credential cloud, API key, wallet kripto, dan sistem internal perusahaan. Itu sebabnya satu laptop developer yang terinfeksi bisa menjadi pintu masuk ke insiden yang jauh lebih besar.
Kasus Axios Jadi Alarm Besar Dunia Open-Source
Salah satu kasus yang paling menyita perhatian adalah kompromi terhadap Axios, library open-source yang sangat populer di kalangan developer web. Menurut laporan, akun maintainer terkait berhasil diambil alih, lalu versi berbahaya dari paket tersebut sempat dipublikasikan sebelum akhirnya ditarik. Karena Axios dipakai sangat luas, para peneliti memperingatkan bahwa dampaknya bisa sangat besar meski jendela serangannya relatif singkat.
Kasus ini penting karena menunjukkan bahwa serangan ke developer kini bukan lagi soal “mengirim virus”, melainkan menyusup ke rantai distribusi software. Jika satu komponen yang dipercaya berhasil diracuni, efeknya bisa menjalar ke banyak organisasi sekaligus.
Bukan Sekadar Phishing, Tapi Operasi yang Makin Canggih
Peneliti keamanan juga mencatat bahwa kelompok yang dikaitkan dengan Korea Utara terus memperbarui teknik mereka. Beberapa kampanye terbaru disebut menyamarkan command-and-control, memakai Pastebin, Vercel, atau konfigurasi otomatis di VS Code untuk menghindari deteksi. Di kasus lain, mereka menyamarkan malware sebagai developer utility atau paket yang tampak relevan dengan pekerjaan pemrograman.
Artinya, ancaman terhadap developer kini jauh lebih licin dibanding sekadar file .exe mencurigakan. Malware bisa tersembunyi di dalam dependency, task runner, atau bahkan script instalasi yang terlihat wajar di mata pengguna teknis.
Apa yang Diincar Hacker?
Motif utamanya diduga tetap sejalan dengan pola lama kelompok peretas Korea Utara: pencurian kredensial, akses jaringan, data sensitif, dan potensi keuntungan finansial, terutama bila target terhubung ke sektor teknologi, finansial, atau kripto. Google dan peneliti independen juga menilai beberapa kampanye mereka punya kaitan dengan operasi jangka panjang untuk mendapatkan akses berkelanjutan ke sistem korban.
Bagi perusahaan, ini berarti ancamannya tidak berhenti di satu endpoint. Jika akun GitHub, npm, atau workstation developer berhasil dibobol, dampaknya bisa menjalar ke pipeline build, secret management, hingga distribusi software ke pengguna akhir.
Cara Developer Mengurangi Risiko
Untuk menekan risiko, developer dan tim engineering perlu meningkatkan disiplin keamanan dasar. Beberapa langkah yang paling penting antara lain:
- aktifkan multi-factor authentication (MFA) di GitHub, npm, dan layanan cloud
- hindari menjalankan proyek asing tanpa audit singkat pada file konfigurasi, dependency, dan script
- periksa file seperti
package.json,postinstall,tasks.json, atau shell script tersembunyi - gunakan dependency pinning, code signing, dan pemindaian supply chain bila tersedia
- jangan mudah percaya pada tes coding, repo viral, atau peringatan CVE yang tidak jelas sumbernya
Langkah-langkah ini tidak membuat sistem kebal sepenuhnya, tetapi dapat memangkas risiko serangan secara signifikan.
Kesimpulan
Serangan yang dikaitkan dengan hacker Korea Utara menunjukkan bahwa developer kini menjadi target utama dalam perang siber modern. Bukan hanya perusahaan besar yang diburu, tetapi juga individu yang memegang akses penting ke kode, infrastruktur, dan distribusi software. Dengan menjadikan GitHub dan ekosistem open-source sebagai jalur masuk, pelaku berhasil menyerang titik yang paling dipercaya di dunia pemrograman.
Kasus seperti Axios dan kampanye malware berkedok proyek coding menjadi pengingat keras bahwa keamanan siber kini bukan cuma urusan tim IT, melainkan juga bagian penting dari kebiasaan kerja setiap developer.
