Malware Mengeksploitasi Kontrak Pintar Ethereum untuk Menghindari Deteksi

Ancaman Baru untuk Keamanan Blockchain

Para penjahat siber telah mengembangkan metode canggih untuk mendistribusikan perangkat lunak berbahaya melalui kontrak pintar Ethereum, menghindari pemindaian keamanan tradisional. Evolusi dalam serangan siber ini telah diidentifikasi oleh para peneliti keamanan siber dari ReversingLabs, yang menemukan malware sumber terbuka baru di repositori Node Package Manager (NPM), koleksi besar paket dan pustaka JavaScript.

Mekanisme Teknis Serangan

Peneliti dari ReversingLabs, Lucija Valentić, menyoroti dalam sebuah publikasi terbaru bahwa paket berbahaya, yang disebut "colortoolsv2" dan "mimelib2", menggunakan kontrak pintar Ethereum untuk menyembunyikan perintah berbahaya. Paket-paket ini, yang diterbitkan pada bulan Juli, berfungsi sebagai pengunduh yang mengambil alamat dari server perintah dan kontrol dari kontrak pintar alih-alih langsung menghosting tautan berbahaya.

Teknik ini secara signifikan memperumit upaya deteksi, karena lalu lintas blockchain tampak sah, memungkinkan malware menginstal perangkat lunak pengunduh di sistem yang terkompromi tanpa membangkitkan peringatan di sistem keamanan tradisional.

Evolusi dalam Strategi Penghindaran

Penggunaan kontrak pintar Ethereum untuk menyimpan URL di mana perintah jahat berada merupakan teknik baru dalam penyebaran malware. Valentić menunjukkan bahwa metode ini menandai perubahan signifikan dalam strategi penghindaran deteksi, karena aktor jahat semakin memanfaatkan repositori kode terbuka dan pengembang.

Taktik ini sebelumnya digunakan oleh kelompok Lazarus, yang terkait dengan Korea Utara, pada awal tahun ini. Namun, pendekatan saat ini menunjukkan evolusi cepat dalam vektor serangan, menggabungkan teknologi blockchain untuk meningkatkan efektivitasnya.

Kampanye Rekayasa Sosial yang Disusun

Paket jahat adalah bagian dari kampanye penipuan yang lebih luas yang beroperasi terutama melalui GitHub. Para penyerang telah membuat repositori palsu untuk bot perdagangan cryptocurrency, menyajikannya sebagai kredibel melalui:

• Komit yang dibuat
• Akun pengguna palsu
• Beberapa akun pemelihara
• Deskripsi proyek dan dokumentasi yang terlihat profesional

Strategi rekayasa sosial yang dirancang ini bertujuan untuk menghindari metode deteksi tradisional dengan menggabungkan teknologi blockchain dengan praktik menipu, menciptakan kesan legitimasi yang menyulitkan identifikasinya.

Lanskap Ancaman yang Berkembang

Pada tahun 2024, para peneliti keamanan telah mendokumentasikan 23 kampanye berniat jahat yang terkait dengan cryptocurrency di repositori kode terbuka. Namun, vektor serangan terbaru ini menyoroti perkembangan terus-menerus dari serangan terhadap repositori.

Di luar Ethereum, taktik serupa telah digunakan di platform lain, seperti repositori palsu di GitHub yang menyamar sebagai bot perdagangan Solana, yang menyebarkan malware untuk mencuri kredensial dompet cryptocurrency. Selain itu, para peretas telah menyerang "Bitcoinlib", sebuah pustaka Python sumber terbuka yang dirancang untuk memfasilitasi pengembangan Bitcoin, yang semakin menggambarkan sifat beragam dan adaptif dari ancaman siber ini.

Tindakan Perlindungan yang Disarankan

Untuk melindungi diri dari jenis ancaman ini, pengguna cryptocurrency harus menerapkan beberapa lapisan keamanan:

• Menggunakan dompet perangkat keras untuk penyimpanan yang aman
• Aktifkan otentikasi dua faktor di semua platform
• Mempertahankan perangkat lunak keamanan dan perangkat yang diperbarui
• Periksa dengan cermat keaslian repositori kode sebelum menggunakannya
• Menerapkan solusi pemantauan terus-menerus untuk mendeteksi aktivitas mencurigakan

Evolusi ancaman ini menunjukkan pentingnya menjaga praktik keamanan yang kuat dan terkini di ekosistem blockchain, terutama bagi pengembang dan pengguna yang berinteraksi dengan kontrak pintar dan repositori kode sumber terbuka.