Hacker Mengeksploitasi Radiant Capital Dengan Malware, $50M Dicuri dalam Pencurian Besar-Besaran

Sebuah PDF yang terinfeksi malware yang dikirim kepada para insinyur Radiant Capital memungkinkan peretas asal Korea Utara mencuri lebih dari $50 juta.

Dalam laporan tindak lanjut terbaru mengenai pelanggaran tersebut, Radiant dibantu oleh Mandiant mengungkapkan detail lebih lanjut. Pada 11 September 2024, seorang pengembang Radiant menerima pesan Telegram dari seorang mantan kontraktor yang berpura-pura menjadi orang lain.

Pesan tersebut, diduga berasal dari mantan kontraktor, mencakup tautan ke PDF yang di-zip. Diduga terkait dengan proyek audit kontrak pintar baru, dokumen tersebut mencari umpan balik profesional.

Domain yang terkait dengan file ZIP ini dengan meyakinkan meniru situs web resmi kontraktor, dan permintaan tersebut tampak rutin dalam lingkaran profesional. Pengembang seringkali bertukar PDF untuk tugas seperti tinjauan hukum atau audit teknis, mengurangi kecurigaan awal.

Mempercayai sumbernya, penerima berbagi file dengan rekan kerjanya, tanpa sengaja mempersiapkan panggung untuk perampokan siber.

Tanpa diketahui oleh tim Radiant, file ZIP tersebut mengandung INLETDRIFT, sebuah malware macOS yang canggih yang tersembunyi dalam dokumen “legitimasi”. Setelah diaktifkan, malware ini membuka pintu belakang yang persisten, menggunakan AppleScript yang berbahaya.

Desain malware ini canggih, menampilkan PDF yang meyakinkan kepada pengguna sementara beroperasi secara diam-diam di latar belakang.

Meskipun Radiant memiliki praktik keamanan siber yang ketat—termasuk simulasi transaksi, verifikasi beban, dan kepatuhan terhadap prosedur operasi standar industri (SOP)—malware ini berhasil menembus dan merusak banyak perangkat pengembang.

Para penyerang memanfaatkan blind signing dan meniru antarmuka front-end, menampilkan data transaksi yang tidak berbahaya untuk menyamarkan aktivitas jahat mereka. Akibatnya, transaksi penipuan dilakukan tanpa terdeteksi.

Sebagai persiapan untuk aksi pencurian, para penyerang menyiapkan kontrak pintar jahat di berbagai platform, termasuk Arbitrum, Binance Smart Chain, Base, dan Ethereum. Hanya tiga menit setelah pencurian, mereka menghapus jejak dari backdoor dan ekstensi browser mereka.

Perampokan tersebut dilakukan dengan presisi: hanya tiga menit setelah mentransfer dana yang dicuri, para penyerang menghapus jejak backdoor mereka dan ekstensi peramban yang terkait, semakin mempersulit analisis forensik.

Mandiant mengaitkan serangan tersebut dengan UNC4736, yang juga dikenal sebagai AppleJeus atau Citrine Sleet, sebuah kelompok yang terkait dengan Biro Pengintaian Umum (RGB) Korea Utara. Insiden ini menyoroti kerentanan dalam penandatanganan buta dan verifikasi front-end, menekankan kebutuhan mendesak akan solusi tingkat perangkat keras untuk memvalidasi beban transaksi.

Radiant bekerja sama dengan penegak hukum AS, Mandiant, dan zeroShadow untuk membekukan aset yang dicuri. The DAO tetap berkomitmen untuk mendukung upaya pemulihan dan berbagi wawasan untuk meningkatkan standar keamanan industri secara menyeluruh.