Malware Menggunakan Kontrak Pintar Ethereum untuk Menghindari Deteksi

Aktor jahat telah mengembangkan metode canggih untuk mendistribusikan perangkat lunak jahat melalui smart contract Ethereum, menghindari sistem keamanan tradisional. Evolusi dalam serangan siber ini diidentifikasi oleh peneliti keamanan siber dari ReversingLabs, yang menemukan malware sumber terbuka baru di repositori Node Package Manager (NPM), koleksi besar paket dan pustaka JavaScript.

Peneliti dari ReversingLabs, Lucija Valentić, menyoroti dalam publikasi terbaru bahwa paket-paket berbahaya, yang dikenal sebagai "colortoolsv2" dan "mimelib2", menggunakan smart contract Ethereum untuk menyembunyikan perintah berbahaya. Paket-paket ini, yang diterbitkan pada bulan Juli, berfungsi sebagai pengunduh yang mengambil alamat server perintah dan kontrol dari smart contract, alih-alih menghosting tautan berbahaya secara langsung. Pendekatan ini mempersulit upaya deteksi, karena lalu lintas blockchain tampak sah, memungkinkan malware menginstal perangkat lunak pengunduh di sistem yang terkompromikan.

Teknik inovatif untuk menghindar

Penggunaan smart contract Ethereum untuk menyimpan URL tempat perintah jahat berada merupakan teknik baru dalam implementasi malware. Valentić mengamati bahwa metode ini menandai perubahan signifikan dalam strategi penghindaran deteksi, karena pelaku jahat semakin mengeksploitasi repositori sumber terbuka dan pengembang. Taktik ini sebelumnya digunakan oleh Grup Lazarus, yang terkait dengan Korea Utara, pada awal tahun ini, tetapi pendekatan saat ini menunjukkan evolusi cepat dalam vektor serangan.

Kampanye penipuan yang canggih

Paket malware merupakan bagian dari kampanye penipuan yang lebih luas yang beroperasi terutama melalui GitHub. Pelaku jahat telah membuat repositori palsu bot trading cryptocurrency, menyajikannya sebagai kredibel melalui commit yang dibuat-buat, akun pengguna palsu, banyak akun pengelola, serta deskripsi proyek dan dokumentasi yang terlihat profesional. Strategi rekayasa sosial yang rumit ini bertujuan untuk menghindari metode deteksi tradisional, menggabungkan teknologi blockchain dengan praktik yang menipu.

Pada tahun 2024, peneliti keamanan telah mendokumentasikan 23 kampanye jahat terkait cryptocurrency di repositori kode terbuka. Namun, vektor serangan terbaru ini menyoroti evolusi terus-menerus dari serangan terhadap repositori. Selain Ethereum, taktik serupa telah digunakan di platform lain, seperti repositori GitHub palsu yang menyamar sebagai bot trading Solana, menyebarkan malware untuk mencuri kredensial dompet cryptocurrency. Selain itu, peretas telah menyerang "Bitcoinlib", sebuah pustaka Python sumber terbuka yang dirancang untuk memfasilitasi pengembangan Bitcoin, menggambarkan sifat beragam dan adaptif dari ancaman siber ini.

Perlindungan terhadap ancaman kriptografi

Untuk melindungi aset digital Anda dari jenis ancaman ini, pengguna harus menghindari mengunduh perangkat lunak dari sumber yang tidak terverifikasi dan menggunakan program antivirus yang diperbarui. Disarankan untuk menerapkan langkah-langkah keamanan yang kuat, seperti autentikasi dua faktor, dan tetap waspada terhadap upaya phishing. Untuk keamanan yang lebih besar, pertimbangkan untuk menggunakan dompet hardware, yang menjaga kunci pribadi tetap offline dan menawarkan lapisan perlindungan tambahan terhadap jenis serangan canggih ini.

Evolusi dalam teknik serangan ini menekankan pentingnya mempertahankan praktik keamanan yang ketat di ekosistem kripto, terutama saat berinteraksi dengan repositori kode terbuka dan mengunduh perangkat lunak yang terkait dengan cryptocurrency.