Peneliti keamanan siber di ReversingLabs menemukan dua baris kode berbahaya yang disematkan dalam pembaruan untuk ETHCode, perangkat pengembangan Ethereum sumber terbuka yang digunakan oleh sekitar 6.000 pengembang. Kode berbahaya tersebut dimasukkan melalui permintaan tarik GitHub yang berhasil melewati tinjauan keamanan kecerdasan buatan dan pengawasan manusia sebelum didistribusikan ke sistem pengembang.
Yang Perlu Diketahui:
- Seorang peretas tanpa riwayat GitHub sebelumnya memasukkan malware ke dalam ETHCode melalui permintaan tarik dengan 43 komit yang mengandung 4.000 baris pembaruan
- Kode berbahaya tersebut dirancang untuk mengunduh dan mengeksekusi skrip yang berpotensi mencuri aset kripto atau mengkompromi kontrak pintar
- Baik peninjau AI GitHub dan tim pengembangan gagal mendeteksi serangan canggih ini, menimbulkan kekhawatiran tentang praktik keamanan sumber terbuka
Rincian Serangan Muncul Melalui Investigasi
Permintaan tarik berbahaya diajukan pada 17 Juni oleh pengguna bernama Airez299, yang tidak memiliki riwayat kontribusi sebelumnya di platform. Peneliti ReversingLabs menemukan bahwa penyerang berhasil menyembunyikan kode berbahaya dengan memberinya nama yang mirip dengan file yang ada sambil mengaburkan struktur kode sebenarnya.
Baris pertama kode berbahaya dirancang untuk berbaur mulus dengan file resmi. Baris kedua berfungsi sebagai mekanisme aktivasi yang pada akhirnya akan menciptakan fungsi PowerShell yang dirancang untuk mengunduh dan mengeksekusi skrip batch dari layanan hosting file publik.
Baik peninjau AI otomatis GitHub dan anggota 7finney, kelompok yang bertanggung jawab untuk memelihara ETHCode, menganalisis pembaruan kode yang besar. Hanya perubahan kecil yang diminta selama proses peninjauan, dengan tidak ada peninjau manusia maupun sistem otomatis yang menandai malware yang disematkan sebagai mencurigakan.
Dampak Potensial Mencapai Ribuan Sistem
ETHCode berfungsi sebagai rangkaian alat komprehensif yang memungkinkan pengembang Ethereum untuk membangun dan menerapkan kontrak pintar yang cocok dengan Ethereum Virtual Machine. Pembaruan yang dikompromikan akan didistribusikan secara otomatis ke sistem pengguna melalui mekanisme pembaruan standar.
Peneliti ReversingLabs Petar Kirhmajer mengatakan pada Decrypt bahwa perusahaan tidak menemukan bukti bahwa kode berbahaya itu sebenarnya dieksekusi untuk mencuri token atau data. Namun, potensi cakupan serangan tetap signifikan mengingat basis pengguna alat ini.
"Permintaan tarik mungkin telah menyebar ke ribuan sistem pengembang," kata Kirhmajer dalam blog penelitian. ReversingLabs terus menyelidiki fungsi pasti dari skrip yang diunduh, dengan asumsi bahwa skrip tersebut "dimaksudkan untuk mencuri aset kripto yang disimpan di mesin korban atau, sebagai alternatif, mengkompromi kontrak Ethereum yang sedang dikembangkan oleh pengguna ekstensi."
Serangan ini mewakili kompromi rantai pasokan yang canggih yang memanfaatkan kepercayaan dalam proses pengembangan sumber terbuka.
Pakar Industri Mengingatkan Kerentanan yang Meluas
Pengembang Ethereum dan salah satu pendiri NUMBER GROUP Zak Cole menekankan bahwa jenis serangan ini mencerminkan tantangan keamanan yang lebih luas yang dihadapi ekosistem pengembangan kriptokurensi. Banyak pengembang menginstal paket sumber terbuka tanpa melakukan tinjauan keamanan yang menyeluruh.
"Sangat mudah bagi seseorang untuk menyusupkan sesuatu yang berbahaya," kata Cole kepada Decrypt. "Bisa jadi paket npm, ekstensi browser, apa saja."
Ketergantungan besar industri kriptokurensi pada pengembangan sumber terbuka menciptakan permukaan serangan yang meluas bagi pelaku kejahatan. Cole menunjuk pada insiden profil tinggi belakangan ini termasuk eksploit Kit Ledger Connect dari Desember 2023 dan malware yang ditemukan di perpustakaan web3.js Solana.
"Ada terlalu banyak kode dan tidak cukup pengawasan," tambah Cole. "Kebanyakan orang hanya menganggap sesuatu aman karena populer atau sudah lama ada, tapi itu tidak berarti apapun."
Cole mencatat bahwa permukaan serangan yang bisa diatasi terus berkembang saat semakin banyak pengembang mengadopsi alat sumber terbuka. Dia juga menyoroti keterlibatan aktor yang disponsori negara dalam serangan-serangan ini.
"Juga, perlu diingat bahwa ada gudang penuh operatif DPRK yang tugas penuhnya adalah melancarkan eksploit ini," kata Cole.
Rekomendasi Keamanan untuk Pengembang
Meski serangan ini sangat canggih, para ahli keamanan percaya bahwa kompromi yang berhasil tetap relatif jarang. Kirhmajer memperkirakan bahwa "percobaan yang berhasil sangat jarang" berdasarkan pengalaman penelitiannya.
ReversingLabs menyarankan agar pengembang memverifikasi identitas dan riwayat kontribusi kontributor kode sebelum mengunduh atau menerapkan pembaruan. Perusahaan juga merekomendasikan untuk meninjau file package.json dan deklarasi ketergantungan serupa untuk mengevaluasi hubungan kode baru.
Cole menganjurkan langkah keamanan tambahan termasuk penguncian ketergantungan untuk mencegah penyertaan pembaruan kode yang belum diuji secara otomatis. Dia merekomendasikan penggunaan alat pemindaian otomatis yang dapat mengidentifikasi pola perilaku mencurigakan atau profil pemelihara yang dipertanyakan.
Pengembang juga harus memantau paket yang tiba-tiba berubah kepemilikan atau merilis pembaruan tidak terduga. Cole menekankan pentingnya mempertahankan lingkungan terpisah untuk kegiatan pengembangan yang berbeda.
"Juga, jangan menjalankan alat penandatanganan atau dompet di mesin yang sama yang Anda gunakan untuk membangun sesuatu," simpul Cole. "Anggap saja tidak ada yang aman kecuali Anda telah memeriksa atau memisahkannya."
Pemikiran Penutup
Insiden ini menyoroti tantangan keamanan berkelanjutan yang dihadapi pengembangan kriptokurensi sumber terbuka, di mana penyerang canggih dapat mengeksploitasi mekanisme kepercayaan untuk mendistribusikan malware ke ribuan sistem pengembang. Meskipun tidak ada bukti yang menunjukkan kode berbahaya berhasil dieksekusi, serangan ini menunjukkan perlunya praktik keamanan yang ditingkatkan dan proses verifikasi dalam ekosistem pengembangan kriptokurensi.