Malware menggunakan smart contract Ethereum untuk menghindari deteksi

Menurut penelitian terbaru, para penjahat siber telah mengembangkan metode canggih untuk mendistribusikan perangkat lunak malware melalui smart contract di blockchain Ethereum, menghindari sistem keamanan komputer tradisional. Evolusi dalam serangan siber ini telah diidentifikasi oleh peneliti keamanan dari ReversingLabs, yang menemukan malware sumber terbuka baru di repositori Node Package Manager (NPM), sebuah koleksi luas paket dan pustaka JavaScript.

Vektor serangan baru di blockchain

Peneliti Lucija Valentić dari ReversingLabs menyoroti dalam publikasi teknis bahwa paket berbahaya, yang disebut "colortoolsv2" dan "mimelib2", menggunakan smart contract di Ethereum untuk menyembunyikan perintah berbahaya. Paket-paket ini, yang diterbitkan pada bulan Juli, berfungsi sebagai pengunduh yang mendapatkan alamat server perintah dan kontrol dari smart contract alih-alih langsung menghosting tautan berbahaya. Pendekatan ini menyulitkan upaya deteksi, karena lalu lintas blockchain terlihat sah, memungkinkan malware untuk menginstal perangkat lunak tambahan di sistem yang terkompromi.

Penggunaan kontrak pintar Ethereum untuk menampung URL tempat perintah berbahaya ditemukan merupakan teknik inovatif dalam distribusi malware. Valentić mencatat bahwa metode ini menandai perubahan signifikan dalam strategi untuk menghindari deteksi, sementara para pelaku jahat semakin mengeksploitasi repositori kode terbuka dan para pengembang.

Evolusi taktik dan konteks sejarah

Teknik ini sebelumnya digunakan oleh kelompok Lazarus, yang terkait dengan Korea Utara, pada awal tahun ini. Namun, pendekatan saat ini menunjukkan evolusi cepat dalam vektor serangan yang digunakan oleh penjahat siber.

Paket malware merupakan bagian dari kampanye penipuan yang lebih luas yang beroperasi terutama melalui GitHub. Para penyerang telah membuat repositori palsu untuk bot trading cryptocurrency, menyajikannya sebagai kredibel melalui commit yang dibuat-buat, akun pengguna palsu, beberapa akun pemelihara, serta deskripsi dan dokumentasi proyek yang tampak profesional. Strategi rekayasa sosial yang rumit ini bertujuan untuk menghindari metode deteksi tradisional dengan menggabungkan teknologi blockchain dengan praktik menipu.

Sebuah panorama ancaman yang semakin meningkat

Pada tahun 2024, para peneliti keamanan telah mendokumentasikan 23 kampanye berbahaya yang terkait dengan cryptocurrency di repositori kode terbuka. Namun, vektor serangan terakhir ini menekankan evolusi terus-menerus dari serangan terhadap repositori.

Selain Ethereum, taktik serupa telah digunakan di platform lain, seperti repositori palsu di GitHub yang menyamar sebagai bot trading Solana, yang menyebarkan malware untuk mencuri kredensial dompet kripto. Selain itu, para peretas telah menyerang "Bitcoinlib", sebuah pustaka Python sumber terbuka yang dirancang untuk memfasilitasi pengembangan Bitcoin, yang semakin menggambarkan sifat ancaman siber yang beragam dan adaptif ini.

Implikasi untuk keamanan blockchain

Cara baru ini untuk menggunakan teknologi blockchain untuk propósitos malware mewakili tantangan signifikan bagi sistem keamanan tradisional. Dengan memanfaatkan sifat terdesentralisasi dan keandalan jaringan blockchain, para penyerang dapat menciptakan infrastruktur jahat yang sulit dideteksi dan dinetralkan dengan alat konvensional.

Bagi pengguna platform blockchain dan pengembang, perkembangan ini menekankan pentingnya menerapkan langkah-langkah keamanan tambahan dan melakukan pemeriksaan menyeluruh saat berinteraksi dengan repositori kode sumber terbuka dan paket perangkat lunak, terutama yang terkait dengan aplikasi kriptokurensi dan keuangan terdesentralisasi.