Metode Baru Penyebaran Malware di Kontrak Pintar Ethereum
Para pelaku ancaman kini telah menemukan metode baru untuk menyebarkan perangkat lunak berbahaya, perintah, dan tautan di dalam kontrak pintar Ethereum. Metode ini bertujuan untuk menghindari pemindaian keamanan seiring dengan perkembangan serangan yang memanfaatkan repositori kode. Peneliti keamanan siber dari perusahaan kepatuhan aset digital, ReversingLabs, telah mengidentifikasi potongan baru malware sumber terbuka yang ditemukan di repositori paket Node Package Manager (NPM), yang merupakan koleksi besar paket dan pustaka JavaScript.
Paket malware tersebut “menggunakan teknik baru dan kreatif untuk memuat malware di perangkat yang terkompromi — yaitu kontrak pintar untuk blockchain Ethereum,” ungkap peneliti ReversingLabs, Lucija Valentić, dalam sebuah posting blog pada hari Rabu. Dua paket, “colortoolsv2” dan “mimelib2,” yang diterbitkan pada bulan Juli, “menyalahgunakan kontrak pintar untuk menyembunyikan perintah berbahaya yang menginstal malware pengunduh di sistem yang terkompromi,” jelas Valentić.
Untuk menghindari pemindaian keamanan, paket-paket tersebut berfungsi sebagai pengunduh sederhana. Alih-alih langsung menghosting tautan berbahaya, mereka mengambil alamat server perintah dan kontrol dari kontrak pintar. Ketika diinstal, paket-paket tersebut akan meminta blockchain untuk mengambil URL guna mengunduh malware tahap kedua, yang membawa muatan atau tindakan, sehingga membuat deteksi lebih sulit karena lalu lintas blockchain tampak sah.
Iklan
Mulai Perjalanan Crypto Anda dengan Coinbase! Bergabunglah dengan jutaan orang di seluruh dunia yang mempercayai Coinbase untuk berinvestasi, membelanjakan, menabung, dan mendapatkan crypto dengan aman. Beli Bitcoin, Ethereum, dan lainnya dengan mudah!
Vektor Serangan Baru
Malware yang menargetkan kontrak pintar Ethereum bukanlah hal baru; sebelumnya, metode ini telah digunakan oleh kelompok peretasan yang terkait dengan Korea Utara, Lazarus Group. “Apa yang baru dan berbeda adalah penggunaan kontrak pintar Ethereum untuk menyimpan URL tempat perintah berbahaya berada, yang mengunduh malware tahap kedua,” kata Valentić. Ia menambahkan, “Ini adalah sesuatu yang belum pernah kita lihat sebelumnya, dan ini menyoroti evolusi cepat strategi penghindaran deteksi oleh pelaku berbahaya yang sedang menjelajahi repositori sumber terbuka dan pengembang.”
Kampanye Penipuan Crypto yang Rumit
Paket malware tersebut merupakan bagian dari kampanye rekayasa sosial dan penipuan yang lebih besar dan rumit, yang terutama beroperasi melalui GitHub. Para pelaku ancaman menciptakan repositori bot perdagangan cryptocurrency palsu yang dirancang untuk terlihat sangat dapat dipercaya. Mereka menggunakan komitmen yang dipalsukan, akun pengguna palsu yang dibuat khusus untuk mengawasi repositori, beberapa akun pemelihara untuk mensimulasikan pengembangan aktif, serta deskripsi dan dokumentasi proyek yang terlihat profesional.
Para Pelaku Ancaman Sedang Berevolusi
Pada tahun 2024, peneliti keamanan telah mendokumentasikan 23 kampanye berbahaya terkait crypto di repositori sumber terbuka. Namun, vektor serangan terbaru ini “menunjukkan bahwa serangan pada repositori sedang berevolusi,” dengan menggabungkan teknologi blockchain dan rekayasa sosial yang rumit untuk melewati metode deteksi tradisional, kesimpulan Valentić. Serangan ini tidak hanya terjadi di Ethereum. Pada bulan April, sebuah repositori GitHub palsu yang berpura-pura sebagai bot perdagangan Solana digunakan untuk mendistribusikan malware yang disembunyikan, yang mencuri kredensial dompet crypto. Para peretas juga menargetkan “Bitcoinlib,” sebuah pustaka Python sumber terbuka yang dirancang untuk mempermudah pengembangan Bitcoin.
