Kapan kampanye malware ini dimulai?

Kampanye malware ini telah aktif sejak Juni 2025. Sejak dimulai, kampanye ini telah mengkompromikan lebih dari 90 host.

Jenis file apa yang digunakan untuk mengantarkan malware?

Malware diantarkan melalui file MSI installer, yang merupakan format paket Windows standar yang digunakan oleh banyak vendor perangkat lunak sah.

Apa yang dilakukan malware setelah menginfeksi sistem?

Malware menyebarkan kit tiga modul yang melakukan rekognisi sistem, mengaktifkan keylogger untuk menangkap kredensial dan kode 2FA, serta mencuri kata sandi tersimpan di browser, cookie sesi, dan data autofill.

Mengapa melakukan hardcode kredensial SSH dan token GitLab di dalam installer dianggap sebagai risiko keamanan?

Kredensial yang di-hardcode dan disematkan dalam file installer dapat dibaca oleh siapa saja yang memeriksa biner tersebut, yang berpotensi mengungkap server command-and-control dan repositori kode para penyerang kepada para pembela dan penyidik.

Apakah menggunakan hardware wallet sudah cukup untuk melindungi diri dari jenis serangan ini?

Menurut artikel ini, mengandalkan hardware wallet saja tidak cukup sebagai perlindungan terhadap kampanye ini, karena malware menarget kredensial, cookie sesi, dan keystroke yang dapat melewati autentikasi tanpa memerlukan akses langsung ke dompet.

Malware MSI Installer Menarget Trader Kripto Sejak Juni 2025

Kampanye malware canggih yang ditemukan menarget para trader cryptocurrency telah aktif secara diam-diam sejak Juni 2025, menggunakan trik yang terlihat sederhana namun efektif: melakukan hardcode kredensial SSH dan token GitLab langsung di dalam file MSI installer. Operasi ini telah mengkompromikan lebih dari 90 host dan dirancang secara khusus untuk mengambil alih akun trading kripto dengan menggabungkan rekognisi sistem, keylogging, dan pencurian data browser dalam satu rantai serangan yang terkoordinasi. Bagi siapa pun yang menyimpan atau aktif memperdagangkan aset digital, mekanisme kampanye ini mengungkap mengapa mengandalkan hardware wallet saja tidak cukup sebagai perlindungan.

Cara Kerja Kampanye MSI Installer: Rekognisi, Keylogging, dan Pencurian Browser

Serangan dimulai ketika target menjalankan apa yang tampak sebagai MSI installer yang sah — format paket Windows standar yang digunakan oleh banyak vendor perangkat lunak. Setelah dijalankan, installer tersebut menyebarkan kit malware tiga modul yang beroperasi secara berurutan.

Modul pertama melakukan rekognisi sistem, memetakan konfigurasi host yang terinfeksi, lingkungan jaringan, dan perangkat lunak yang terpasang. Tahap ini memberi penyerang gambaran jelas tentang apa yang mereka hadapi sebelum melancarkan intrusi lebih dalam. Modul kedua mengaktifkan keylogger, merekam semua yang diketik korban, termasuk kredensial login exchange, kode autentikasi dua faktor, dan passphrase dompet. Modul ketiga menarget data yang tersimpan di browser, mengekstrak kata sandi tersimpan, cookie sesi, dan entri autofill yang dapat digunakan untuk melewati autentikasi di platform keuangan tanpa harus mengetahui kata sandi akun secara langsung.

Kombinasi ini disengaja. Keylogging menangkap kredensial yang sedang digunakan; pencurian browser menangkap kredensial yang tersimpan. Keduanya bersama-sama menyisakan sangat sedikit celah.

Mengapa Kredensial yang Di-hardcode Merupakan Risiko Sistemik

Yang membuat kampanye ini sangat menonjol dari sudut pandang riset keamanan bukan hanya apa yang dilakukannya terhadap korban, tetapi apa yang diungkapkannya tentang para penyerang itu sendiri. Menyematkan kredensial SSH dan token GitLab yang di-hardcode di dalam installer berarti malware tersebut membawa tautan langsung dan statis kembali ke infrastruktur backend-nya sendiri.

Ini adalah kegagalan keamanan operasional dari pihak penyerang, dan hal ini bukan sesuatu yang unik bagi kelompok ini. Ketika pengembang — baik yang membangun perangkat lunak sah maupun alat berbahaya — melakukan hardcode token autentikasi ke dalam file yang dikompilasi atau dikemas, kredensial tersebut menjadi dapat dibaca oleh siapa saja yang memeriksa biner tersebut. Bagi para pembela, kredensial yang di-hardcode dalam malware dapat mengungkap server command-and-control, repositori kode, bahkan alur kerja pengembangan internal dari seorang pelaku ancaman. Bagi korban, kelemahan yang sama yang mungkin membantu penyidik melacak penyerang tidak memberikan perlindungan apa pun setelah kompromi sudah terjadi.

Pola ini mencerminkan tren yang lebih luas dalam malware yang menarget cloud. Sebagaimana dilaporkan dalam artikel tentang malware PCPJack yang mengeksploitasi kredensial cloud, kerangka kerja pencurian kredensial semakin memperlakukan token yang tidak diamankan dengan benar sebagai sasaran empuk — baik token tersebut milik korban maupun, dalam kasus ini, milik para penyerang itu sendiri.

Siapa yang Menjadi Target dan Bagaimana Trader Kripto Diincar

Fokus kampanye ini pada trader cryptocurrency bukanlah kebetulan. Akun kripto menghadirkan profil target yang sangat menarik: sering kali menyimpan nilai likuid yang signifikan, transaksi bersifat tidak dapat dibatalkan setelah disiarkan ke blockchain, dan banyak trader menggunakan antarmuka berbasis browser untuk mengelola posisi di berbagai exchange secara bersamaan.

Poin terakhir itu sangat krusial. Trading berbasis browser berarti sesi yang tersimpan di browser, cookie, dan kredensial tersimpan merupakan jalur langsung menuju akses akun. Penyerang yang berhasil mendapatkan cookie sesi yang valid dari browser seringkali dapat mengautentikasi diri ke exchange tanpa memicu prompt kata sandi atau dua faktor, karena sesi itu sendiri sudah dalam keadaan terautentikasi. Komponen keylogger kemudian menutupi skenario apa pun di mana trader keluar dan masuk kembali, menangkap kredensial segar secara real time.

Dengan lebih dari 90 host yang sudah dikonfirmasi terkompromikan, skala kampanye ini mengindikasikan operasi yang tertarget namun persisten, bukan pendekatan sembarangan yang menyebar luas. Trader yang mengunduh perangkat lunak dari sumber tidak resmi atau tidak terverifikasi sejak Juni 2025 berada dalam risiko terbesar.

Bagaimana VPN, Credential Manager, dan Kebersihan Browser Mengurangi Permukaan Serangan Anda

Tidak ada satu alat pun yang sepenuhnya menghilangkan risiko yang direpresentasikan oleh kampanye ini, namun beberapa praktik dapat mengurangi paparan secara bermakna.

VPN tidak mencegah malware dieksekusi setelah sudah berada di mesin, namun dapat mengurangi risiko intersepsi lalu lintas dan membatasi visibilitas tingkat jaringan yang diperoleh penyerang selama fase rekognisi. Yang lebih penting, menggunakan VPN secara konsisten di semua perangkat membantu menjadikan kebersihan jaringan sebagai kebiasaan, bukan sesuatu yang dilakukan belakangan.

Credential manager mengatasi salah satu vektor serangan utama di sini: kata sandi yang tersimpan di browser. Ketika kredensial disimpan dalam manajer terenkripsi khusus alih-alih vault kata sandi bawaan browser, pencurian data browser menghasilkan informasi yang jauh lebih sedikit dan tidak dapat digunakan. Sebagian besar credential manager juga mendukung pembuatan kata sandi unik dan kompleks untuk setiap akun, yang membatasi dampak jika satu set kredensial berhasil dicuri.

Kebersihan browser juga penting. Para trader sebaiknya mempertimbangkan untuk menggunakan profil browser khusus, atau bahkan browser terpisah, yang digunakan secara eksklusif untuk mengakses exchange. Profil tersebut tidak boleh memiliki kata sandi tersimpan, tidak boleh ada ekstensi selain yang benar-benar diperlukan, dan harus dibersihkan dari cookie setelah setiap sesi. Cookie sesi tidak dapat dicuri dari sesi yang sudah tidak ada.

Terakhir, disiplin dalam menginstal perangkat lunak adalah garis pertahanan pertama. File MSI yang diperoleh di luar situs vendor resmi atau toko aplikasi membawa risiko nyata. Memverifikasi hash file, memeriksa tanda tangan penerbit, dan memperlakukan setiap installer yang meminta penonaktifan perangkat lunak keamanan sebagai tanda bahaya langsung dapat mencegah eksekusi awal yang membuat segalanya menjadi mungkin.

Apa Artinya Ini Bagi Anda

Jika Anda aktif memperdagangkan cryptocurrency atau menyimpan aset digital yang dapat diakses melalui antarmuka berbasis browser, kampanye ini adalah peringatan langsung bagi Anda. Hardware wallet melindungi dana on-chain, tetapi tidak melindungi akun exchange — dan di situlah malware ini dirancang untuk menimbulkan kerusakan.

Mulailah dengan mengaudit di mana kredensial Anda saat ini tersimpan. Jika kata sandi exchange Anda tersimpan di browser, pindahkan ke credential manager khusus dan buat kata sandi baru yang unik untuk setiap platform. Tinjau ekstensi browser Anda dan hapus apa pun yang tidak Anda gunakan secara aktif. Periksa riwayat unduhan Anda untuk setiap MSI installer yang diperoleh sejak Juni 2025 dari sumber yang tidak dapat Anda verifikasi.

Kecanggihan operasi pencurian kredensial yang terus meningkat — dari kampanye token yang di-hardcode yang dijelaskan di sini hingga eksploitasi multi-CVE yang didokumentasikan dalam kerangka kerja yang menarget cloud — menjadikan kebersihan kredensial yang proaktif sebagai salah satu pertahanan paling efektif yang tersedia bagi pengguna individu. Meluangkan waktu satu jam untuk mengaudit pengaturan Anda hari ini jauh lebih mudah daripada memulihkan diri dari pengambilalihan akun esok hari.