Pada 1 April 2026, bursa terdesentralisasi (Decentralized Exchange / DEX) berbasis Solana, Drift, kehilangan aset kripto senilai $285 juta. Di balik angka kerugian fantastis tersebut, terungkap sebuah fakta mengerikan: peretasan ini bukanlah akibat dari serangan siber kilat (seperti brute force atau eksploitasi kode mentah), melainkan puncak dari operasi rekayasa sosial dan intelijen terstruktur yang direncanakan selama enam bulan.

Drift dan para peneliti forensik (dengan tingkat keyakinan menengah) mengatribusikan serangan ini kepada kelompok Advanced Persistent Threat (APT) yang disponsori negara Korea Utara, UNC4736 (juga dikenal sebagai Golden Chollima, Citrine Sleet, AppleJeus).

Baca Juga: Momen "Kiamat" Siber: AI Agentic Retas FreeBSD Tanpa Campur Tangan Manusia dalam Hitungan Jam

Dalam catatan intelijen, UNC4736 adalah spesialis pencurian finansial yang bertanggung jawab atas retasan supply chain3CX (2023) dan perampokan DeFi Radiant Capital senilai $53 juta (2024). Analisis CrowdStrike menegaskan bahwa operasi perampokan ini memiliki mandat jelas: mendanai program nuklir dan militer ambisius rezim Kim Jong-un.

Laporan pasca-insiden Drift membedah bagaimana intelijen Korea Utara membangun kepercayaan selama berbulan-bulan dengan target mereka.

Fase 1: Penanaman Persona Dunia Nyata (Musim Gugur 2025) Peretas tidak memulai serangan dengan mengirim malware. Mereka mengirim manusia. Individu yang menyamar sebagai perwakilan perusahaan trading kuantitatif mendekati kontributor utama Drift di berbagai konferensi kripto internasional.

• Fakta Krusial: Agen yang hadir secara fisik bukanlah warga negara Korea Utara. DPRK menggunakan perantara (orang ketiga) dengan rekam jejak profesional yang dapat diverifikasi di LinkedIn dan fasih secara teknis.

Fase 2: Integrasi Finansial & Teknis (Desember 2025 - Maret 2026) Setelah membuat grup Telegram, "perusahaan trading palsu" ini mengintegrasikan diri ke dalam ekosistem Drift. Mereka secara resmi membuka Ecosystem Vault, berdiskusi intens terkait strategi produk, dan—yang paling meyakinkan—mendepositkan dana pribadi mereka sendiri senilai lebih dari $1 Juta ke dalam platform. Ini adalah taktik psikologis untuk membuktikan kredibilitas mereka sebagai mitra bisnis yang sah.

Fase 3: Eksekusi Serangan Berbasis Repositori (Maret - 1 April 2026) Setelah kepercayaan penuh terbangun, peretas membagikan "alat pengembangan bersama" (development tools) kepada kontributor Drift melalui dua vektor utama:

1. Manipulasi VS Code (Repositori Kloning): Kontributor diminta mengkloning sebuah repositori GitHub. Di dalam repositori tersebut, peretas telah memanipulasi file tasks.json. Saat proyek dibuka di Microsoft Visual Studio Code (VS Code), opsi "runOn: folderOpen" secara otomatis mengeksekusi kode berbahaya di latar belakang tanpa sepengetahuan korban.
2. Aplikasi Beta Beracun: Kontributor lain ditipu untuk mengunduh produk dompet kripto fiktif melalui Apple TestFlight (aplikasi pengujian beta iOS).

Begitu serangan senilai $285 juta sukses dieksekusi pada 1 April, seluruh grup Telegram dihapus secara serentak, dan malware melakukan swa-hancur (self-destruct).

Kasus Drift ini hanyalah satu dari banyak tentakel spionase Korea Utara. DomainTools Investigations (DTI) mencatat bahwa operasi siber DPRK kini menerapkan ekosistem malware yang "terfragmentasi secara sengaja" untuk mempersulit atribusi (Kimsuky untuk spionase, Lazarus untuk pencurian dana, Andariel untuk sabotase/ransomware).

Selain taktik Contagious Interview (wawancara kerja palsu yang mengirimkan malware JS), Korea Utara kini menjalankan skema Penipuan Pekerja IT (IT Worker Fraud) berskala industri:

• Ribuan teknisi ahli Korut di China dan Rusia menggunakan identitas palsu (dibantu AI) untuk melamar kerja remote di perusahaan Barat.
• Laporan terbaru dari Flare mengungkap bahwa DPRK kini merekrut warga negara dari Iran, Suriah, Lebanon, dan Arab Saudi sebagai "wajah depan" (interviewers). Orang-orang ini digaji menggunakan kripto untuk melewati wawancara teknis dan video dengan manajer HRD Amerika Serikat, sebelum akhirnya menyerahkan akses jaringan (remote login) kepada peretas asli di balik layar.

Insiden Drift membuktikan bahwa pelatihan Security Awareness konvensional sudah tidak lagi relevan (usang) dalam menghadapi intelijen siber tingkat negara (State-Sponsored APT). Ketika penyerang mau menghabiskan enam bulan hidup mereka untuk membangun persona nyata, menghadiri konferensi, dan mendepositkan uang $1 juta murni untuk Social Engineering, tidak ada karyawan yang bisa mencurigainya.

Di Fourtrezz, kami sangat menekankan bahwa pertahanan perusahaan harus bergantung pada arsitektur Zero Trust dan isolasi lingkungan, bukan pada penilaian manusia semata:

1. Lingkungan Pengembangan Terisolasi (Dev Sandbox): Tragedi eksploitasi tasks.json di VS Code bisa dihindari jika insinyur menggunakan infrastruktur yang tepat. Karyawan engineering tidak boleh membuka repositori dari pihak ketiga (bahkan dari "mitra bisnis" terpercaya sekalipun) langsung di mesin kerja utama (Host OS). Semua kode dari luar wajib dibuka di dalam Container (misalnya menggunakan DevContainers di Docker) atau Virtual Machine berbasis komputasi awan. Jika ada malware tereksekusi, malware tersebut hanya akan menghancurkan kontainer, bukan laptop perusahaan.
2. Kontrol Akses Berlapis (Identitas Multi-Faktor pada Level Infrastruktur): Hilangnya $285 juta mengindikasikan bahwa akses manajemen kunci (Key Management) atau Smart Contract kripto perusahaan tidak diikat oleh sistem kontrol yang ketat (seperti Multi-Signature Wallets atau PAM / Privileged Access Management).
3. Proses Vetting Karyawan & Kontraktor (Sinyal Perangkat Keras): Untuk melawan skema "Pekerja IT Palsu", departemen HRD tidak bisa hanya mengandalkan wawancara Zoom. Tim IT wajib menerapkan MDM (Mobile Device Management) dan mengaudit perangkat keras (seperti alamat MAC, sidik jari peramban, dan lokasi logingeografis secara fisik) untuk memastikan bahwa orang yang mengetik kode adalah orang yang sama dengan yang diwawancarai.

Keamanan sejati berawal dari asumsi mutlak: "Siapa pun bisa diretas". Arsitektur jaringan Anda harus dirancang untuk membatasi daya rusak ketika asumsi itu menjadi kenyataan.