Para peneliti keamanan memperingatkan bahwa serangan baru sedang diam-diam memanfaatkan smart contract Ethereum sebagai saluran perintah dan kontrol (C2), menyembunyikan malware dalam paket npm JavaScript yang tampak tidak berbahaya, secara khusus menargetkan komputer pengembang. Metode ini tidak hanya meningkatkan kesulitan dalam pelacakan dan penghapusan, tetapi juga memanfaatkan sifat tidak dapat diubah dan publik dari Blockchain, membuat pihak yang mempertahankan lebih sulit untuk memblokir.
Bagaimana paket npm berbahaya menggunakan Ethereum untuk mengirim perintah serangan
ReversingLabs menemukan bahwa dua paket npm yang bernama colortoolsv2 dan mimelib2 akan membaca kontrak pintar tertentu di Ethereum untuk mendapatkan URL downloader jahat tahap dua, alih-alih mengkodekan infrastruktur secara keras dalam paket.
Desain ini mengurangi kemungkinan deteksi statis dan meninggalkan lebih sedikit petunjuk dalam tinjauan kode. Meskipun jumlah unduhan kedua paket ini sangat rendah (masing-masing 7 dan 1 kali), pendekatan serangannya merupakan ancaman serius bagi keamanan rantai pasokan.
GitHub penyamaran dan rekayasa sosial untuk mengarahkan instalasi
Investigasi menunjukkan bahwa promosi paket malware ini berasal dari jaringan repositori GitHub yang menyamar sebagai robot perdagangan, seperti solana-trading-bot-v2.
Penyerang menggunakan bintang palsu, riwayat pengajuan yang dibesar-besarkan, dan akun pemelihara boneka untuk membujuk pengembang secara tidak sadar menginstal ketergantungan malware.
Metode ini mirip dengan serangan pendaftaran domain npm yang terjadi pada akhir tahun 2024, di mana ratusan jebakan akan memeriksa kontrak Ethereum selama tahap instalasi, mengambil URL dasar, dan kemudian mengunduh file eksekusi jahat yang ditujukan untuk Windows, Linux, dan macOS.
detail teknis saluran perintah di Blockchain
Perusahaan keamanan Checkmarx dan Phylum menemukan bahwa alamat kontrak inti yang digunakan oleh penyerang adalah 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, dan melalui ethers.js memanggil getString(address) untuk mendapatkan alamat server C2 terbaru.
Node C2 ini termasuk 45.125.67.172:1337 dan 193.233.201.21:3001, yang akan berubah seiring waktu untuk menghindari pemblokiran.
Karena data kontrak pintar tidak dapat diubah, cara penyimpanan di blockchain ini lebih sulit untuk dihapus dibandingkan dengan GitHub Gist atau penyimpanan cloud tradisional.
Saran Pertahanan: Memblokir skrip siklus hidup dan permintaan jaringan
Para ahli merekomendasikan agar tim pengembang mengaktifkan parameter --ignore-scripts saat menginstal npm dan dalam proses CI, untuk mencegah skrip siklus hidup berbahaya dijalankan secara otomatis, serta mengunci versi paket melalui file kunci.
Pada saat yang sama, IP jahat yang diketahui dan alamat kontrak harus diblokir di firewall atau proxy keamanan, dan panggilan mencurigakan ke getString(address) dalam log pembangunan harus dipantau.
Panduan keamanan resmi Node.js juga menyarankan untuk melakukan pemeriksaan yang lebih ketat terhadap identitas pemelihara dan metadata paket, untuk mengurangi risiko serangan rantai pasokan.
Kesimpulan
Meskipun jumlah unduhan yang terpengaruh oleh kejadian ini tidak besar, itu mengungkapkan pola serangan yang lebih tersembunyi dan sulit untuk dipertahankan — memanfaatkan Blockchain sebagai saluran perintah yang persisten, dikombinasikan dengan rekayasa sosial dan infiltrasi rantai pasokan sumber terbuka, yang menimbulkan ancaman jangka panjang bagi pengembang dan perusahaan. Di masa depan, kombinasi malware on-chain dan serangan rantai pasokan tradisional mungkin menjadi norma baru di bidang keamanan siber.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Kontrak pintar Ethereum menyimpan jebakan! Paket npm telah disusupi dengan program jahat yang menargetkan pengembang.
Para peneliti keamanan memperingatkan bahwa serangan baru sedang diam-diam memanfaatkan smart contract Ethereum sebagai saluran perintah dan kontrol (C2), menyembunyikan malware dalam paket npm JavaScript yang tampak tidak berbahaya, secara khusus menargetkan komputer pengembang. Metode ini tidak hanya meningkatkan kesulitan dalam pelacakan dan penghapusan, tetapi juga memanfaatkan sifat tidak dapat diubah dan publik dari Blockchain, membuat pihak yang mempertahankan lebih sulit untuk memblokir.
Bagaimana paket npm berbahaya menggunakan Ethereum untuk mengirim perintah serangan
ReversingLabs menemukan bahwa dua paket npm yang bernama colortoolsv2 dan mimelib2 akan membaca kontrak pintar tertentu di Ethereum untuk mendapatkan URL downloader jahat tahap dua, alih-alih mengkodekan infrastruktur secara keras dalam paket.
Desain ini mengurangi kemungkinan deteksi statis dan meninggalkan lebih sedikit petunjuk dalam tinjauan kode. Meskipun jumlah unduhan kedua paket ini sangat rendah (masing-masing 7 dan 1 kali), pendekatan serangannya merupakan ancaman serius bagi keamanan rantai pasokan.
GitHub penyamaran dan rekayasa sosial untuk mengarahkan instalasi
Investigasi menunjukkan bahwa promosi paket malware ini berasal dari jaringan repositori GitHub yang menyamar sebagai robot perdagangan, seperti solana-trading-bot-v2.
Penyerang menggunakan bintang palsu, riwayat pengajuan yang dibesar-besarkan, dan akun pemelihara boneka untuk membujuk pengembang secara tidak sadar menginstal ketergantungan malware.
Metode ini mirip dengan serangan pendaftaran domain npm yang terjadi pada akhir tahun 2024, di mana ratusan jebakan akan memeriksa kontrak Ethereum selama tahap instalasi, mengambil URL dasar, dan kemudian mengunduh file eksekusi jahat yang ditujukan untuk Windows, Linux, dan macOS.
detail teknis saluran perintah di Blockchain
Perusahaan keamanan Checkmarx dan Phylum menemukan bahwa alamat kontrak inti yang digunakan oleh penyerang adalah 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, dan melalui ethers.js memanggil getString(address) untuk mendapatkan alamat server C2 terbaru.
Node C2 ini termasuk 45.125.67.172:1337 dan 193.233.201.21:3001, yang akan berubah seiring waktu untuk menghindari pemblokiran.
Karena data kontrak pintar tidak dapat diubah, cara penyimpanan di blockchain ini lebih sulit untuk dihapus dibandingkan dengan GitHub Gist atau penyimpanan cloud tradisional.
Saran Pertahanan: Memblokir skrip siklus hidup dan permintaan jaringan
Para ahli merekomendasikan agar tim pengembang mengaktifkan parameter --ignore-scripts saat menginstal npm dan dalam proses CI, untuk mencegah skrip siklus hidup berbahaya dijalankan secara otomatis, serta mengunci versi paket melalui file kunci.
Pada saat yang sama, IP jahat yang diketahui dan alamat kontrak harus diblokir di firewall atau proxy keamanan, dan panggilan mencurigakan ke getString(address) dalam log pembangunan harus dipantau.
Panduan keamanan resmi Node.js juga menyarankan untuk melakukan pemeriksaan yang lebih ketat terhadap identitas pemelihara dan metadata paket, untuk mengurangi risiko serangan rantai pasokan.
Kesimpulan
Meskipun jumlah unduhan yang terpengaruh oleh kejadian ini tidak besar, itu mengungkapkan pola serangan yang lebih tersembunyi dan sulit untuk dipertahankan — memanfaatkan Blockchain sebagai saluran perintah yang persisten, dikombinasikan dengan rekayasa sosial dan infiltrasi rantai pasokan sumber terbuka, yang menimbulkan ancaman jangka panjang bagi pengembang dan perusahaan. Di masa depan, kombinasi malware on-chain dan serangan rantai pasokan tradisional mungkin menjadi norma baru di bidang keamanan siber.