Penjahat siber telah mulai menggunakan Ethereum kontrak pintar untuk menyembunyikan perintah malware, menciptakan tantangan baru bagi tim keamanan saat penyerang memanfaatkan teknologi blockchain untuk menghindari sistem deteksi. Perusahaan kepatuhan aset digital ReversingLabs menemukan teknik ini setelah menganalisis dua paket berbahaya yang diunggah ke repositori Node Package Manager pada bulan Juli.
Metode ini memungkinkan peretas memadukan aktivitas mereka dengan lalu lintas blockchain yang sah, membuat operasi berbahaya semakin sulit diidentifikasi dan dicegah.
Apa yang Perlu Diketahui:
- Dua paket NPM bernama "colortoolsv2" dan "mimelib2" menggunakan kontrak pintar Ethereum untuk mengambil alamat server berbahaya sebelum menginstal malware tahap kedua
- Peneliti keamanan mendokumentasikan 23 kampanye berbahaya terkait kripto di repositori sumber terbuka hanya pada tahun 2024
- Kelompok Lazarus yang terhubung dengan Korea Utara sebelumnya telah menggunakan metode distribusi malware berbasis blockchain yang serupa
Metode Distribusi Baru Mengeksploitasi Infrastruktur Blockchain
Paket diidentifikasi oleh ReversingLabs tampak sah tetapi mengandung fungsi tersembunyi yang dirancang untuk mengambil instruksi dari kontrak pintar Ethereum. Alih-alih menghosting tautan berbahaya secara langsung, perangkat lunak bertindak sebagai pengunduh yang mengambil alamat untuk server command-and-control.
Lucija Valentić, seorang peneliti di ReversingLabs, mengatakan penghosting URL berbahaya pada kontrak Ethereum mewakili pendekatan yang belum pernah terjadi sebelumnya. "Itu adalah sesuatu yang belum kami lihat sebelumnya," kata Valentić, menggambarkan perkembangan sebagai evolusi cepat dalam cara penyerang menghindari sistem pemindaian keamanan.
Teknik ini memanfaatkan fakta bahwa lalu lintas blockchain sering kali terlihat sah bagi perangkat lunak keamanan. Metode deteksi tradisional kesulitan membedakan antara operasi kontrak pintar normal dan yang digunakan untuk tujuan berbahaya.
Bot Perdagangan Palsu Menjadi Vektor Serangan Utama
Paket berbahaya tersebut merupakan bagian dari kampanye penipuan yang lebih luas dilaksanakan melalui repositori GitHub. Penyerang membangun proyek bot perdagangan kripto palsu lengkap dengan riwayat komit palsu, beberapa akun pengelola palsu, dan dokumentasi profesional yang dirancang untuk menarik pengembang.
Repositori ini dibuat agar tampak dapat dipercaya sambil berfungsi sebagai mekanisme pengiriman untuk instalasi malware. Kecanggihan proyek palsu menunjukkan sejauh mana penjahat siber akan pergi untuk membangun kredibilitas sebelum meluncurkan serangan.
Analis keamanan telah mengidentifikasi kombinasi penyimpanan perintah berbasis blockchain dan rekayasa sosial ini sebagai peningkatan signifikan dalam kompleksitas serangan. Pendekatan ini membuat deteksi menjadi jauh lebih sulit bagi tim keamanan yang sekarang harus memantau kedua vektor serangan tradisional dan komunikasi berbasis blockchain.
Kampanye yang menargetkan Node Package Manager mewakili hanya salah satu aspek dari tren yang lebih besar yang mempengaruhi komunitas pengembangan sumber terbuka. Penyerang secara khusus menargetkan lingkungan ini karena pengembang sering menginstal paket tanpa ulasan keamanan yang menyeluruh.
Serangan Sebelumnya Berbasis Blockchain Menargetkan Proyek Kriptocurrency
Ethereum bukan satu-satunya jaringan blockchain yang dieksploitasi untuk tujuan distribusi malware. Awal tahun ini, Kelompok Lazarus yang terhubung dengan Korea Utara meluncurkan malware yang juga memanfaatkan kontrak Ethereum, meskipun implementasi spesifik mereka berbeda dari serangan NPM terbaru.
Pada bulan April, penyerang membuat repositori GitHub palsu yang menyamar sebagai proyek bot perdagangan Solana.
Repositori palsu ini digunakan untuk mendistribusikan malware yang secara khusus dirancang untuk mencuri kredensial dompet kripto dari korban.
Kasus terdokumentasi lain melibatkan "Bitcoinlib," perpustakaan Python yang dimaksudkan untuk pekerjaan pengembangan Bitcoin. Peretas menargetkan alat pengembangan yang sah ini untuk tujuan pencurian kredensial yang serupa.
Pola ini menunjukkan penjahat siber secara konsisten menargetkan alat pengembangan terkait kriptocurrency dan repositori sumber terbuka. Lingkungan ini menyediakan kondisi ideal untuk serangan karena pengembang sering bekerja dengan perpustakaan kode dan alat yang baru dan belum dikenal.
Memahami Teknologi Blockchain dan Kontrak Pintar
Kontrak pintar adalah program yang mengeksekusi sendiri yang berjalan di jaringan blockchain seperti Ethereum. Mereka secara otomatis menjalankan kondisi yang telah ditentukan tanpa memerlukan campur tangan manusia atau pengawasan dari perantara tradisional.
Kontrak ini menyimpan data secara permanen di blockchain, membuatnya dapat diakses dari mana saja di dunia. Karakteristik terdesentralisasi dari jaringan blockchain berarti bahwa menghapus konten berbahaya menjadi sangat sulit setelah dideploy.
Server command-and-control adalah sistem komputer yang digunakan penjahat siber untuk berkomunikasi dengan perangkat yang terinfeksi. Dengan menyimpan alamat server di jaringan blockchain, penyerang menciptakan saluran komunikasi yang lebih sulit untuk diganggu atau diperhatikan oleh tim keamanan.
Pemikiran Penutup
Penemuan perintah malware tersembunyi dalam kontrak pintar Ethereum menandai evolusi signifikan dalam taktik penjahat siber, ketika penyerang semakin memanfaatkan teknologi blockchain untuk menghindari sistem deteksi. Valentić menekankan bahwa penjahat siber terus mencari metode baru untuk melewati pertahanan keamanan, dengan penyimpanan perintah berbasis blockchain mewakili inovasi terbaru mereka dalam tetap selangkah lebih maju dari langkah keamanan siber.