Peretasan versi CLI Bitwarden, penangkapan kolektor "hitam" di Kyiv dan peristiwa keamanan siber lainnya - ForkLog: cryptocurrency, AI, singularitas, masa depan

# Vektor CLI Bitwarden, penangkapan “kolektor hitam” di Kyiv, dan peristiwa keamanan siber lainnya

Kami mengumpulkan berita terpenting dari dunia keamanan siber selama seminggu.

• Peretas Korea Utara mencuri cryptocurrency sebesar $12 juta dalam tiga bulan menggunakan alat AI.
• Mantan negosiator dengan pemeras mengaku sebagai pendukung.
• Intelijen Inggris: 100 pemerintah negara di dunia memiliki akses ke perangkat lunak mata-mata komersial.
• Pengelola kata sandi untuk pengembang Bitwarden telah diintegrasikan dengan infostyler.

Peretas Korea Utara mencuri cryptocurrency sebesar $12 juta dalam tiga bulan menggunakan alat AI

Dalam tiga bulan, kelompok peretas Korea Utara HexagonalRodent mencuri sekitar $12 juta dalam cryptocurrency dan menginfeksi lebih dari 2000 komputer pengembang Web3 dengan tujuan mencuri kredensial dan akses ke dompet kripto. Hal ini dilaporkan oleh ahli keamanan siber Expel, Markus Hutchins.

Serangan ini didasarkan pada metode vib-coding — menghasilkan perangkat lunak berbahaya dan infrastruktur melalui permintaan teks ke neural network:

• dengan alat AI desain web dari Anima, peretas membuat situs untuk perusahaan TI yang tidak ada;
• korban ditarik dengan lowongan palsu dan diminta menyelesaikan “tugas tes” yang berisi malware;
• seluruh kode dan korespondensi dalam bahasa Inggris yang sempurna dihasilkan menggunakan ChatGPT dan Cursor.

Fragmen kode peretas. Sumber: Expel. Ahli menganalisis infrastruktur peretas yang secara ceroboh mereka tinggalkan terbuka. Prompts dan basis data dompet korban bocor ke internet. Hutchins mencatat bahwa kode yang ditulis penuh dengan komentar berbahasa Inggris dan emoji — tanda jelas bahwa perangkat lunak sepenuhnya dihasilkan oleh LLM.

Menurut Hutchins, pada tahun 2026, Pyongyang melakukan loncatan kualitas dengan menggunakan AI untuk mengotomatisasi setiap tahap serangan siber, mengubah operator yang kurang terampil menjadi ancaman siber skala besar.

Kegiatan HexagonalRodent hanyalah bagian dari strategi global DPRK untuk otomatisasi kejahatan, yang dibuktikan oleh laporan dari perusahaan teknologi lain:

• Microsoft melaporkan bahwa operator Korea Utara menggunakan AI untuk menghasilkan dokumen palsu, mempelajari kerentanan, dan rekayasa sosial;
• Anthropic menyatakan bahwa mereka menghentikan upaya agen DPRK menggunakan model Claude untuk memperbaiki virus.

Dalam komentar WIRED, perwakilan OpenAI, Cursor, dan Anima mengonfirmasi fakta penyalahgunaan layanan mereka. Menurut mereka, akun terkait peretas telah diblokir, dan penyelidikan akan membantu memahami bagaimana mencegah insiden serupa.

Mantan negosiator pemeras mengaku sebagai pendukung

Angelo Martino, yang sebelumnya melakukan negosiasi dengan pemeras di perusahaan keamanan siber DigitalMint, mengaku bersalah membantu kejahatan siber. Hal ini dilaporkan oleh Departemen Kehakiman AS.

Martino mengaku bermain “di dua sisi” dalam lima insiden berbeda. Secara formal bekerja untuk korban, dia mengirimkan informasi rahasia kepada operator malware ALPHV/BlackCat, serta memberi peretas data seperti batas polis asuransi korban dan strategi negosiasi mereka.

Penyelidikan menemukan bahwa Martino memaksimalkan pembayaran untuk penjahat, dari mana dia mendapatkan bagian.

Kelompok ALPHV/BlackCat beroperasi berdasarkan model CaaS, di mana geng membuat dan memelihara perangkat lunak enkripsi file, dan “mitra” menggunakannya dalam serangan dan membayar pengembang bagian dari keuntungan.

Pada tahun 2023, penegak hukum merebut situs peretas di darknet dan merilis program dekripsi yang membantu lebih dari 500 korban memulihkan sistem mereka.

Pada tahun 2025, kelompok penjahat yang sama dibantu oleh dua pegawai DigitalMint — Kevin Tyler Martin dan Ryan Clifford Goldberg. Bersama Martino, mereka menghasilkan lebih dari $1,2 juta hanya dari satu korban.

Martino mengaku bersalah atas pemerasan, dan dia terancam hukuman penjara hingga 20 tahun. Pihak berwenang menyita asetnya senilai $10 juta.

Intelijen Inggris: 100 pemerintah negara memiliki akses ke perangkat lunak mata-mata komersial

Menurut data intelijen Inggris, lebih dari separuh pemerintah negara memiliki akses ke perangkat lunak yang mampu membobol perangkat untuk mencuri informasi rahasia. Dilaporkan oleh Politico.

Menurut media, hambatan untuk mengakses teknologi pengawasan semacam ini telah menurun. Juga tercatat peningkatan jumlah negara yang berpotensi memiliki alat peretasan serupa: sekarang ada 100, bukan 80 seperti yang diketahui pada 2023.

Perangkat lunak mata-mata komersial yang dikembangkan oleh perusahaan swasta seperti Pegasus dari NSO Group sering bergantung pada kerentanan perangkat lunak ponsel dan komputer. Meski pemerintah menyatakan bahwa alat ini hanya digunakan terhadap tersangka kejahatan berat, termasuk terorisme.

Menurut intelijen Inggris, dalam beberapa tahun terakhir, “daftar korban” telah meluas dari kritikus politik, lawan, dan jurnalis ke bankir dan pengusaha kaya.

Di AS, ICE aktif menggunakan perangkat lunak Israel Graphite. Pelaksana tugas direktur agensi Todd Lyons mengonfirmasi informasi ini kepada NPR.

Menurutnya, aparat penegak hukum menggunakan perangkat lunak ini untuk melawan organisasi teroris asing dan pedagang fentanil yang menggunakan pesan terenkripsi. Perangkat lunak ini memungkinkan mereka mengakses pesan di ponsel tanpa perlu mengklik tautan (zero-click).

Pengelola kata sandi untuk pengembang Bitwarden telah diintegrasikan dengan infostyler

Pada 22 April 2026, paket npm resmi dari antarmuka baris perintah (CLI) dari pengelola kata sandi Bitwarden versi 2026.4.0 telah dikompromikan. Dalam repositori ditemukan versi yang mengandung kode berbahaya untuk mencuri kredensial pengembang.

Beberapa perusahaan keamanan menganalisis rantai infeksi dan memberi penilaian terhadap insiden ini:

• ahli dari JFrog menemukan bahwa paket menggunakan loader kustom bw_setup.js untuk menjalankan skrip mata-mata secara diam-diam. Virus ini mengumpulkan token npm dan GitHub, kunci SSH, serta akses ke AWS, Azure, dan Google Cloud;
• di OX Security, ditemukan bahwa data yang dicuri dan dienkripsi diekspor melalui pembuatan otomatis repositori publik di GitHub korban. Repositori diberi label Shai-Hulud: The Third Coming, dan virus mampu menyebar sendiri;
• Socket mengonfirmasi bahwa target virus adalah infrastruktur CI/CD. Mereka juga menghubungkan insiden ini dengan kompromi rantai pasokan terbaru dari perusahaan Checkmarx.

Serangan ini dikaitkan dengan kelompok peretas TeamPCP, yang sebelumnya melakukan kampanye besar terhadap pengembang proyek Trivy dan LiteLLM. Para ahli sangat menyarankan pengembang segera mengganti semua kunci dan token jika mereka berinteraksi dengan CLI yang terpengaruh.

Bitwarden dengan cepat menghapus versi yang terinfeksi hanya satu setengah jam setelah serangan dimulai dan mengonfirmasi bahwa penyimpanan dan kata sandi pengguna tetap aman.

Apple memperbaiki bug yang memungkinkan FBI membaca pesan Signal yang dihapus

Apple merilis perbaikan dan panduan keamanan setelah FBI mendapatkan akses ke isi notifikasi pesan dari aplikasi Signal melalui iOS, meskipun aplikasi tersebut telah dihapus.

Kami sangat senang hari ini Apple merilis patch dan advis keamanan. Ini setelah @404mediaco melaporkan bahwa FBI mengakses isi notifikasi pesan Signal melalui iOS meskipun aplikasi telah dihapus.

Pemberitahuan Apple mengonfirmasi bahwa bug yang memungkinkan ini…

— Signal (@signalapp) 22 April 2026

Dalam Signal, mereka melaporkan bahwa setelah memperbarui, semua notifikasi yang tidak sengaja disimpan akan dihapus, dan yang baru tidak akan disimpan.

Di Kyiv, geng kolektor yang memeras cryptocurrency dengan botfarm ditangkap

Di Kyiv, aparat penegak hukum menangkap penipu yang menggunakan platform Bitcapital dan Crypsee untuk memberikan pinjaman dalam cryptocurrency. Para debitur dan keluarga mereka dilecehkan dengan konten penghinaan yang dihasilkan dan botfarm yang terdiri dari 6000 kartu SIM, lapor Cyberpolisi Ukraina.

Menurut penyelidikan, anggota kelompok mengatur pusat panggilan di Dnipro, mereka beroperasi sejak 2023 dengan menyamar sebagai perusahaan yang terdaftar di Inggris dan Siprus.

Operator menelepon debitur dan, menggunakan data palsu serta program pengubah suara, menuntut pengembalian dana. Jika klien membayar tepat waktu, penjahat akan mengada-ada utang yang tidak ada. Selanjutnya, mereka melakukan pemerasan dan ancaman untuk memeras uang.

Botfarm digunakan untuk menghasilkan dan menyebarkan konten merendahkan dengan data dan foto korban, keluarganya, dan kolega, serta untuk panggilan telepon sistematis dengan ancaman.

Sumber: Cyberpolisi Ukraina. Pada saat yang sama, korban bisa saja “dikerjakan” oleh kelompok terpisah dari dua hingga enam orang, yang menggunakan pendekatan berbeda sesuai kerentanan individu korban. Jika berhasil, masing-masing dari mereka mendapatkan persentase dari jumlah yang dikirimkan kepada korban.

Polisi melakukan 44 penggeledahan di wilayah Dnipropetrovsk dan Kyiv. Lebih dari 80 ponsel, perangkat komputer, uang tunai, dokumen, cap, dan botfarm disita.

Menurut data awal, kerugian yang ditimbulkan melebihi 5 juta hryvnia (sekitar $113 000 berdasarkan kurs saat ini). Tersangka terancam hukuman hingga 12 tahun penjara.

Selain di ForkLog:

• Tether memblokir USDT sebesar $344 juta atas permintaan AS.
• Di Inggris, dilakukan razia untuk memberantas perdagangan P2P ilegal cryptocurrency.
• Ahli keamanan siber memperingatkan gelombang serangan baru dari peretas Korea Utara.
• Di Bloomberg, diketahui adanya akses tidak sah ke model AI Mythos.
• Peretas menyerang Volo dan mengeluarkan $3,5 juta dari pool WBTC dan USDC.
• Wartawan mengungkap skema pemerasan bitcoin baru melalui Terusan Hormuz.
• Arbitrum membekukan 30.000 ETH dalam penyelidikan peretasan Kelp.
• Eth.limo memulihkan kendali atas domain setelah peretasan oleh easyDNS.
• Protokol Kelp kehilangan $293 juta setelah serangan pada jembatan lintas rantai.

Apa yang harus dibaca di akhir pekan?

Penggunaan senjata siber untuk spionase selama ini dianggap sebagai hak istimewa dari kalangan terbatas badan intelijen. Namun, penyelidikan pemerintah AS terhadap Operation Zero mengungkapkan skala perdagangan kerentanan zero-day.

Tentang pasar gelap negara dan biaya peretasan — dalam materi terbaru ForkLog.