Kontrak pintar Ethereum menjadi sarang baru bagi hacker untuk menyembunyikan malware.

Baru-baru ini, tim penelitian ReversingLabs mengungkapkan temuan yang mengkhawatirkan: Hacker dengan cerdik memanfaatkan smart contract Ethereum untuk menyembunyikan URL program jahat. Penyelidikan ini menunjukkan bahwa penyerang menggunakan paket perangkat lunak npm colortoolv2 dan mimelib2 sebagai pengunduh; setelah diinstal, mereka akan memeriksa smart contract Ethereum untuk mendapatkan instruksi dan informasi infrastruktur kontrol dan komando (C2) untuk program jahat tahap kedua.

Peneliti ReversingLabs, Lucija Valentic, menyatakan bahwa metode serangan ini sangat kreatif dan belum pernah terjadi sebelumnya, berhasil menghindari mekanisme pemindaian tradisional, yang biasanya menandai URL mencurigakan dalam skrip paket perangkat lunak.

Program jahat tersembunyi dengan cerdik di dalam blockchain

Hacker-hacker memanfaatkan fitur smart contract Ethereum untuk menyembunyikan kode berbahaya dalam file index.js yang tampak biasa. Saat dijalankan, file tersebut akan mengakses blockchain untuk mendapatkan rincian server C2. Penelitian ReversingLabs menunjukkan bahwa cara memanfaatkan hosting blockchain ini menandai bahwa strategi penghindaran telah memasuki tahap baru.

Peneliti melakukan pemindaian ekstensif di GitHub dan menemukan bahwa paket npm ini disematkan dalam repositori yang menyamar sebagai bot cryptocurrency, seperti Solana-trading-bot-v2 dan Hyperliquid-trading-bot-v2. Repositori ini menyamar sebagai alat profesional, memiliki banyak pengiriman, kontainer, dan bintang, tetapi sebenarnya semuanya palsu.

Penyamaran dan Evolusi Berkelanjutan Hacker

Penelitian menemukan bahwa akun yang melakukan pengajuan atau menyalin repositori kode dibuat pada bulan Juli dan tidak menunjukkan aktivitas pengkodean apa pun. Sebagian besar akun menyisipkan file README dalam repositori kode mereka. Jumlah pengajuan dihasilkan secara artifisial melalui program otomatis, dengan tujuan untuk melebih-lebihkan aktivitas pengkodean. Misalnya, sebagian besar pengajuan yang tercatat hanya merupakan perubahan pada file lisensi, bukan pembaruan yang substansial.

Peneliti menemukan bahwa setelah terdeteksi, Hacker dengan cepat akan beralih ke akun yang berbeda untuk ketergantungan. Setelah colortoolsv2 terdeteksi, mereka beralih menggunakan mimelibv2, kemudian kembali beralih ke mw3ha31q dan cnaovalles, yang menyebabkan pembengkakan jumlah pengajuan dan penanaman ketergantungan jahat.

ReversingLabs mengaitkan acara ini dengan Ghost Network dari Stargazer, yang merupakan sistem akun terkoordinasi yang bertujuan untuk meningkatkan kredibilitas repositori jahat. Target dari serangan ini adalah para pengembang yang mencari alat cryptocurrency sumber terbuka, yang mungkin salah mengartikan statistik GitHub yang dilebih-lebihkan sebagai indikator akun yang sah.

Ancaman Berkelanjutan yang Dihadapi Ekosistem Blockchain

Serangan yang ditemukan kali ini bukanlah kasus yang terisolasi. Pada bulan Maret 2025, ResearchLabs menemukan paket npm jahat lainnya yang memodifikasi paket Ethers yang sah dengan kode yang mengaktifkan shell terbalik. Selain itu, juga ditemukan dua paket npm yang mengandung kode jahat yaitu Ether-provider2 dan ethers-providerZ.

Melihat kembali, peristiwa di bulan Desember 2024 di mana paket ultralytics di PyPI disusupi untuk menyebarkan malware penambangan cryptocurrency, serta kasus-kasus yang menggunakan platform tepercaya seperti Google Drive dan GitHub Gist untuk menyembunyikan kode jahat, menunjukkan keberagaman serangan semacam ini. Menurut penelitian, pada tahun 2024 tercatat 23 insiden rantai pasokan terkait cryptocurrency, yang melibatkan malware dan kebocoran data.

Saran Keamanan dan Prospek Masa Depan

Peneliti ReversingLabs, Valentic, menekankan bahwa temuan ini menyoroti bagaimana strategi penghindaran deteksi yang digunakan oleh penyerang jahat terhadap proyek open source dan pengembang sedang berkembang dengan cepat. Dia memperingatkan pengembang untuk secara hati-hati mengevaluasi legalitas pustaka open source sebelum mengadopsinya, karena indikator seperti jumlah bintang, jumlah pengiriman, dan jumlah pemelihara sangat mudah dimanipulasi.

Meskipun paket npm terkait telah dihapus dan akun GitHub terkait juga telah ditutup, peristiwa ini mengungkapkan bahwa ekosistem ancaman perangkat lunak terus berkembang. Pengembang dan ahli keamanan perlu tetap waspada dan mengambil langkah-langkah verifikasi yang lebih ketat untuk menghadapi ancaman yang semakin kompleks ini.