Kontrak Pintar Ethereum Menjadi Tempat Persembunyian Terbaru Untuk Malware

Saya telah memperhatikan tren yang mengganggu di mana peretas sekarang memanfaatkan smart contract Ethereum untuk menyembunyikan perintah malware, menciptakan mimpi buruk bagi para profesional keamanan siber seperti saya.

Yang sangat membuat frustrasi adalah bagaimana para penyerang ini bersembunyi di dalam lalu lintas blockchain yang terlihat sah, membuat pekerjaan saya untuk mendeteksi mereka hampir mustahil.

Vektor Serangan Baru Muncul

ReversingLabs baru-baru ini menemukan dua paket yang tampaknya tidak berbahaya di repositori NPM - “colortoolsv2” dan “mimelib2” - yang secara diam-diam menarik instruksi dari smart contract Ethereum.

Ini bukanlah paket jahat yang biasa. Alih-alih menyimpan tautan berbahaya secara langsung, mereka berfungsi sebagai pengunduh, mengambil alamat server perintah-dan-kontrol sebelum menginstal malware sekunder.

“Itu adalah sesuatu yang belum pernah kami lihat sebelumnya,” kata Lucija Valentić dari ReversingLabs. Saya terkejut betapa cepatnya para penyerang beradaptasi dengan metode mereka untuk menghindari protokol keamanan kami.

Bot Trading Palsu Dan Trik Sosial

Ini bukan hanya upaya sekali saja. Paket-paket tersebut adalah bagian dari kampanye penipuan yang lebih luas yang berjalan terutama melalui GitHub.

Saya telah memeriksa sendiri repositori bot perdagangan cryptocurrency palsu ini - mereka sangat meyakinkan dengan komit yang dipalsukan, beberapa profil pemelihara palsu, dan dokumentasi yang rapi yang dirancang untuk menjebak pengembang. Perhatian terhadap detail dalam menciptakan proyek yang tampak dapat dipercaya sambil menyembunyikan niat jahat mereka hampir mengesankan.

Sepanjang tahun 2024, kami telah mendokumentasikan 23 kampanye jahat terkait crypto yang menargetkan repositori sumber terbuka. Taktik terbaru ini yang menggabungkan perintah blockchain dengan rekayasa sosial secara signifikan meningkatkan kesulitan pertahanan.

Awal tahun ini, Grup Lazarus dari Korea Utara menerapkan malware berbasis kontrak Ethereum yang serupa dengan menggunakan teknik yang berbeda. Insiden lainnya termasuk repositori GitHub bot trading Solana palsu yang mencuri kredensial dompet, dan perpustakaan Python “Bitcoinlib” yang telah disusupi.

Polanya tidak bisa disangkal - alat pengembang kripto dan repositori sumber terbuka telah menjadi ladang buruan. Fitur blockchain seperti smart contract hanya memperumit upaya deteksi.

Penilaian Valentić benar adanya - para penyerang terus mencari cara baru untuk mengelilingi pertahanan kita. Menggunakan kontrak Ethereum untuk perintah bermusuhan menunjukkan inovasi tanpa henti mereka dalam tetap selangkah lebih maju dari langkah-langkah keamanan.

Gambar unggulan dari Meta, grafik dari TradingView

Peringatan: Hanya untuk tujuan informasi. Kinerja masa lalu tidak menunjukkan hasil di masa depan.