Hacker menggunakan smart contract Ethereum untuk menyembunyikan malware: analisis ancaman baru

Tim penelitian ReversingLabs baru-baru ini menemukan aktivitas serangan yang menggunakan smart contract Ethereum untuk menyembunyikan URL malware. Penelitian menunjukkan bahwa penyerang menggunakan paket npm colortoolv2 dan mimelib2 sebagai pengunduh perangkat lunak berbahaya.

Paket npm ini setelah diinstal akan mendapatkan informasi infrastruktur perintah dan kontrol malware fase kedua dengan mengquery smart contract Ethereum (C2). Peneliti ReversingLabs, Lucija Valentic, menyebut metode serangan ini cukup kreatif dan belum pernah terjadi sebelumnya. Metode ini digunakan oleh penyerang dapat melewati pemindaian tradisional, karena pemindaian tersebut biasanya hanya menandai URL yang mencurigakan dalam skrip paket.

Pelaku ancaman dengan cerdik menyembunyikan kode malware

Kontrak pintar Ethereum adalah program otomatisasi blockchain yang bersifat publik. Dalam serangan ini, peretas memanfaatkan kontrak pintar untuk menyembunyikan kode berbahaya dari pandangan publik. Muatan berbahaya disembunyikan dalam file index.js sederhana, yang saat dijalankan akan terhubung ke blockchain untuk mendapatkan detail server C2.

Penelitian ReversingLabs menunjukkan bahwa paket downloader tidak umum di npm, sementara pemanfaatan hosting blockchain menandakan bahwa teknik penghindaran deteksi telah memasuki tahap baru.

Peringatan Keamanan: Pengembang harus sangat berhati-hati saat menggunakan pustaka open source, terutama pustaka yang terkait dengan fungsi cryptocurrency. Disarankan untuk melakukan audit keamanan menyeluruh sebelum mengimpor ketergantungan pihak ketiga.

Penyerang memalsukan repositori GitHub untuk meningkatkan reputasi

Peneliti melakukan pemindaian menyeluruh terhadap GitHub dan menemukan bahwa paket npm ini disematkan dalam repositori yang menyamar sebagai robot perdagangan cryptocurrency, seperti Solana-trading-bot-v2, Hyperliquid-trading-bot-v2, dll. Repositori ini menyamar sebagai alat profesional, memiliki banyak komit, kontainer, dan bintang, tetapi sebenarnya semuanya fiktif.

Penelitian menemukan bahwa akun yang melakukan pengajuan atau pemisahan repositori ini semuanya dibuat pada bulan Juli, dan tidak menunjukkan aktivitas pengkodean apa pun. Sebagian besar akun memiliki file README yang disematkan di repositorinya. Investigasi mengungkapkan bahwa jumlah pengajuan dihasilkan secara artifisial melalui proses otomatisasi untuk melebih-lebihkan aktivitas pengkodean. Misalnya, sebagian besar pengajuan yang tercatat hanya merupakan modifikasi terhadap file lisensi, dan bukan pembaruan yang substansial.

Peringatan Keamanan: Pengguna CEX dan investor cryptocurrency harus tidak hanya mengandalkan data permukaan seperti jumlah bintang, frekuensi komit, dll. untuk menilai kepercayaan proyek saat menggunakan alat sumber terbuka di GitHub. Disarankan untuk memeriksa kualitas kode dan kondisi pemeliharaan secara mendalam.

Ancaman Deteksi Tahap Baru dari Malware yang Tertanam di Blockchain Ethereum

Serangan yang ditemukan kali ini adalah yang terbaru dalam serangkaian serangan terhadap ekosistem blockchain. Pada bulan Maret tahun ini, ResearchLabs juga menemukan paket npm berbahaya lainnya yang memodifikasi paket Ethers yang sah dengan menyisipkan kode shell balik.

Penelitian menunjukkan bahwa pada tahun 2024 tercatat 23 kejadian terkait cryptocurrency dalam rantai pasokan, yang melibatkan malware dan kebocoran kredensial dalam berbagai bentuk.

Penemuan kali ini meskipun menggunakan beberapa trik lama, tetapi memperkenalkan kontrak Ethereum sebagai mekanisme baru. Peneliti Valentic menunjukkan bahwa ini menyoroti evolusi cepat pelaku jahat dalam menghindari deteksi, mereka terus mencari cara baru untuk menyusup ke proyek sumber terbuka dan lingkungan pengembang.

Pengingat Keamanan: Bagi platform CEX dan pengguna, jenis ancaman baru ini berarti perlunya meningkatkan audit keamanan terhadap smart contract dan meningkatkan pengawasan terhadap kontrak yang mungkin disalahgunakan. Platform harus mempertimbangkan untuk menerapkan mekanisme audit kode pihak ketiga yang lebih ketat.

Meskipun paket npm yang terlibat, colortoolsv2 dan mimelib2, telah dihapus dari npm dan akun GitHub terkait juga telah ditutup, peristiwa ini menyoroti perkembangan berkelanjutan dari ekosistem ancaman perangkat lunak. Ini mengingatkan kita bahwa bahkan fungsi blockchain yang tampaknya tidak berbahaya dapat dieksploitasi oleh peretas, menjadi potensi risiko keamanan.