Menurut laporan terbaru, penjahat siber telah mengembangkan metode canggih untuk mendistribusikan perangkat lunak malware melalui smart contract Ethereum, menghindari pemindaian keamanan tradisional. Evolusi dalam serangan siber ini telah diidentifikasi oleh para peneliti keamanan siber dari ReversingLabs, yang menemukan malware sumber terbuka baru di repositori Node Package Manager (NPM), sebuah koleksi besar paket dan pustaka JavaScript.

Peneliti ReversingLabs, Lucija Valentić, menyoroti dalam sebuah publikasi terbaru bahwa paket malware, yang disebut "colortoolsv2" dan "mimelib2", menggunakan smart contract Ethereum untuk menyembunyikan perintah berbahaya. Paket-paket ini, yang dipublikasikan pada bulan Juli, berfungsi sebagai downloader yang mendapatkan alamat server command dan control dari smart contract alih-alih langsung menghosting tautan berbahaya. Pendekatan ini menyulitkan upaya deteksi, karena lalu lintas blockchain tampak sah, memungkinkan malware untuk menginstal perangkat lunak pengunduh di sistem yang terkompromikan.

Penggunaan kontrak pintar Ethereum untuk menyimpan URL di mana perintah berbahaya ditemukan merupakan teknik baru dalam implementasi malware. Valentić mencatat bahwa metode ini menandai perubahan signifikan dalam strategi penghindaran deteksi, karena aktor jahat semakin mengeksploitasi repositori kode sumber terbuka dan para pengembang. Taktik ini sebelumnya digunakan oleh kelompok Lazarus, yang terkait dengan Korea Utara, pada awal tahun ini, tetapi pendekatan saat ini menunjukkan evolusi cepat dalam vektor serangan.

Paket malware adalah bagian dari kampanye penipuan yang lebih luas yang beroperasi terutama melalui GitHub. Para penjahat siber telah membuat repositori palsu untuk bot trading cryptocurrency, menyajikannya sebagai kredibel melalui komit yang dipalsukan, akun pengguna palsu, banyak akun pemelihara, dan deskripsi serta dokumentasi proyek yang terlihat profesional. Strategi rekayasa sosial yang rumit ini bertujuan untuk menghindari metode deteksi tradisional dengan menggabungkan teknologi blockchain dengan praktik menipu.

Pada tahun 2024, para peneliti keamanan mendokumentasikan 23 kampanye jahat terkait cryptocurrency di repositori kode sumber terbuka. Namun, vektor serangan terakhir ini menekankan evolusi berkelanjutan dari serangan terhadap repositori. Selain Ethereum, taktik serupa telah digunakan di platform lain, seperti repositori palsu di GitHub yang menyamar sebagai bot trading Solana, yang mendistribusikan malware untuk mencuri kredensial dompet cryptocurrency. Selain itu, para peretas telah menyerang "Bitcoinlib", sebuah pustaka Python sumber terbuka yang dirancang untuk memfasilitasi pengembangan Bitcoin, yang semakin menggambarkan sifat beragam dan adaptif dari ancaman siber ini.