Penjahat siber telah mulai menggunakan Ethereum kontrak pintar untuk menyembunyikan perintah malware, menciptakan tantangan baru bagi tim keamanan saat penyerang mengeksploitasi teknologi blockchain untuk menghindari sistem deteksi. Perusahaan kepatuhan aset digital ReversingLabs menemukan teknik tersebut setelah menganalisis dua paket berbahaya yang diunggah ke repositori Node Package Manager pada bulan Juli.
Metode ini memungkinkan peretas untuk membaurkan aktivitas mereka dengan lalu lintas blockchain yang sah, membuat operasi jahat jauh lebih sulit untuk diidentifikasi dan diblokir.
Yang Harus Diketahui:
- Dua paket NPM bernama "colortoolsv2" dan "mimelib2" menggunakan kontrak pintar Ethereum untuk mengambil alamat server berbahaya sebelum menginstal malware tahap kedua
- Peneliti keamanan mendokumentasikan 23 kampanye berbahaya terkait kripto di repositori open-source pada tahun 2024 saja
- Kelompok Lazarus yang terkait dengan Korea Utara sebelumnya telah menggunakan metode distribusi malware berbasis blockchain yang serupa
Metode Distribusi Baru Mengeksploitasi Infrastruktur Blockchain
Paket yang diidentifikasi oleh ReversingLabs tampak sah tetapi mengandung fungsi tersembunyi yang dirancang untuk menarik instruksi dari kontrak pintar Ethereum. Alih-alih meng-hosting tautan berbahaya secara langsung, perangkat lunak ini bertindak sebagai pengunduh yang mengambil alamat untuk server command-and-control.
Lucija Valentić, seorang peneliti di ReversingLabs, mengatakan bahwa hosting URL berbahaya pada kontrak Ethereum merupakan pendekatan yang belum pernah terjadi sebelumnya. "Itu adalah sesuatu yang belum pernah kami lihat sebelumnya," kata Valentić, menggambarkan perkembangan ini sebagai evolusi cepat dalam cara penyerang menghindari sistem pemindaian keamanan.
Teknik ini memanfaatkan fakta bahwa lalu lintas blockchain sering kali tampak sah bagi perangkat lunak keamanan. Metode deteksi tradisional berjuang untuk membedakan antara operasi kontrak pintar normal dan yang digunakan untuk tujuan berbahaya.
Bot Perdagangan Palsu Menjadi Vektor Serangan Utama
Paket berbahaya tersebut membentuk bagian dari kampanye penipuan yang lebih luas yang dilakukan melalui repositori GitHub. Penyerang membangun proyek bot perdagangan cryptocurrency palsu lengkap dengan sejarah komit palsu, beberapa akun pemelihara palsu, dan dokumentasi profesional yang dirancang untuk menarik pengembang.
Repositori ini dirancang agar tampak terpercaya sekaligus berfungsi sebagai mekanisme pengiriman untuk instalasi malware. Sofistikasi proyek palsu menunjukkan sejauh mana penjahat siber akan pergi untuk membangun kredibilitas sebelum meluncurkan serangan.
Analis keamanan telah mengidentifikasi kombinasi penyimpanan perintah berbasis blockchain dan rekayasa sosial ini sebagai peningkatan signifikan dalam kompleksitas serangan. Pendekatan ini membuat deteksi jauh lebih sulit bagi tim keamanan siber yang kini harus memantau baik vektor serangan tradisional maupun komunikasi berbasis blockchain.
Kampanye yang menargetkan Node Package Manager ini hanya mewakili satu aspek dari tren yang lebih besar yang mempengaruhi komunitas pengembangan open-source. Penyerang secara khusus menargetkan lingkungan ini karena pengembang sering menginstal paket tanpa ulasan keamanan menyeluruh.
Serangan Berbasis Blockchain Sebelumnya Menargetkan Proyek Cryptocurrency
Ethereum bukan satu-satunya jaringan blockchain yang dieksploitasi untuk tujuan distribusi malware. Awal tahun ini, Kelompok Lazarus yang terkait dengan Korea Utara menyebarkan malware yang juga menggunakan kontrak Ethereum, meskipun implementasi spesifik mereka berbeda dari serangan NPM baru-baru ini.
Pada bulan April, penyerang membuat repositori GitHub palsu yang menyamar sebagai proyek bot perdagangan Solana.
Repositori palsu ini digunakan untuk menyebarkan malware yang dirancang khusus untuk mencuri kredensial dompet cryptocurrency dari korban.
Kasus terdokumentasi lainnya melibatkan "Bitcoinlib," sebuah pustaka Python yang dimaksudkan untuk pekerjaan pengembangan Bitcoin. Peretas menargetkan alat pengembangan sah ini untuk keperluan pencurian kredensial serupa.
Pola ini menunjukkan bahwa penjahat siber secara konsisten menargetkan alat pengembangan terkait cryptocurrency dan repositori open-source. Lingkungan ini memberikan kondisi ideal untuk serangan karena pengembang sering bekerja dengan pustaka kode dan alat baru yang belum dikenal.
Memahami Teknologi Blockchain dan Kontrak Pintar
Kontrak pintar adalah program yang mengeksekusi sendiri yang berjalan di jaringan blockchain seperti Ethereum. Program ini secara otomatis mengeksekusi kondisi yang telah ditentukan sebelumnya tanpa memerlukan intervensi manusia atau pengawasan dari perantara tradisional.
Kontrak ini menyimpan data secara permanen di blockchain, membuatnya dapat diakses dari mana saja di dunia. Sifat terdesentralisasi dari jaringan blockchain berarti menghapus konten berbahaya menjadi sangat sulit setelah diterapkan.
Server command-and-control adalah sistem komputer yang digunakan oleh penjahat siber untuk berkomunikasi dengan perangkat yang terinfeksi. Dengan menyimpan alamat server di jaringan blockchain, penyerang menciptakan saluran komunikasi yang lebih sulit diputus atau dipantau oleh tim keamanan.
Pemikiran Penutup
Penemuan perintah malware yang disembunyikan dalam kontrak pintar Ethereum menandai evolusi signifikan dalam taktik penjahat siber, karena penyerang semakin mengeksploitasi teknologi blockchain untuk menghindari sistem deteksi. Valentić menekankan bahwa penjahat siber terus mencari metode baru untuk melewati pertahanan keamanan, dengan penyimpanan perintah berbasis blockchain mewakili inovasi terbaru mereka dalam tetap berada di depan langkah-langkah keamanan siber.