Menurut laporan terbaru, para penjahat siber telah mengembangkan metode canggih untuk mendistribusikan perangkat lunak malware melalui smart contract di Ethereum, menghindari pemindaian keamanan tradisional. Evolusi dalam serangan siber ini telah diidentifikasi oleh peneliti keamanan siber dari ReversingLabs, yang menemukan malware sumber terbuka baru di repositori Node Package Manager (NPM), koleksi luas paket dan pustaka JavaScript.

Peneliti dari ReversingLabs, Lucija Valentić, menyoroti dalam sebuah publikasi baru-baru ini bahwa paket malware, yang disebut "colortoolsv2" dan "mimelib2", menggunakan smart contract Ethereum untuk menyembunyikan perintah jahat. Paket-paket ini, yang diterbitkan pada bulan Juli, berfungsi sebagai pengunduh yang mendapatkan alamat server perintah dan kontrol dari smart contract alih-alih langsung menyimpan tautan jahat. Pendekatan ini mempersulit upaya deteksi, karena lalu lintas blockchain tampak sah, memungkinkan malware menginstal perangkat lunak pengunduh di sistem yang terkompromikan.

Penggunaan kontrak pintar Ethereum untuk menyimpan URL di mana perintah berbahaya ditemukan merupakan teknik baru dalam penerapan malware. Valentić mencatat bahwa metode ini menandakan perubahan signifikan dalam strategi penghindaran deteksi, karena pelaku jahat semakin mengeksploitasi repositori sumber terbuka dan pengembang. Taktik ini sebelumnya digunakan oleh kelompok Lazarus, yang terafiliasi dengan Korea Utara, pada awal tahun ini, tetapi pendekatan saat ini menunjukkan evolusi cepat dalam vektor serangan.

Paket malware adalah bagian dari kampanye penipuan yang lebih luas yang beroperasi terutama melalui GitHub. Para penjahat siber telah membuat repositori palsu untuk bot trading cryptocurrency, menyajikannya sebagai kredibel melalui commit yang dibuat-buat, akun pengguna palsu, beberapa akun pemelihara, serta deskripsi dan dokumentasi proyek yang terlihat profesional. Strategi rekayasa sosial yang rumit ini bertujuan untuk menghindari metode deteksi tradisional dengan menggabungkan teknologi blockchain dengan praktik menipu.

Pada tahun 2024, peneliti keamanan mendokumentasikan 23 kampanye jahat yang terkait dengan cryptocurrency di repositori kode terbuka. Namun, vektor serangan terakhir ini menekankan evolusi terus-menerus dari serangan terhadap repositori. Selain Ethereum, taktik serupa telah digunakan di platform lain, seperti repositori palsu di GitHub yang berpura-pura menjadi bot trading Solana dan mendistribusikan malware untuk mencuri kredensial dompet cryptocurrency. Selain itu, para hacker telah menyerang "Bitcoinlib", sebuah pustaka Python sumber terbuka yang dirancang untuk memfasilitasi pengembangan Bitcoin, yang lebih jauh menggambarkan sifat ancaman siber yang beragam dan adaptif ini.