Peretas Crypto Kini Menggunakan Smart Contract Ethereum untuk Menyembunyikan Payload Malware

Ethereum telah menjadi garis depan terbaru untuk serangan rantai pasokan perangkat lunak.

Peneliti di ReversingLabs awal minggu ini menemukan dua paket NPM berbahaya yang menggunakan smart contract Ethereum untuk menyembunyikan kode berbahaya, memungkinkan malware melewati pemeriksaan keamanan tradisional.

NPM adalah manajer paket untuk lingkungan runtime Node.js dan dianggap sebagai registri perangkat lunak terbesar di dunia, di mana para pengembang dapat mengakses dan berbagi kode yang berkontribusi pada jutaan program perangkat lunak.

Paket-paket tersebut, “colortoolsv2” dan “mimelib2,” diunggah ke repositori Node Package Manager yang banyak digunakan pada bulan Juli. Paket-paket ini tampak seperti utilitas sederhana pada pandangan pertama, tetapi dalam praktiknya, mereka memanfaatkan blockchain Ethereum untuk mengambil URL tersembunyi yang mengarahkan sistem yang telah dikompromikan untuk mengunduh malware tahap kedua.

Dengan menyematkan perintah-perintah ini dalam smart contract, penyerang menyamarkan aktivitas mereka sebagai lalu lintas blockchain yang sah, sehingga deteksi menjadi lebih sulit.

“Ini adalah sesuatu yang belum pernah kami lihat sebelumnya,” kata peneliti ReversingLabs, Lucija Valentić, dalam laporan mereka. “Ini menyoroti evolusi cepat strategi penghindaran deteksi oleh aktor jahat yang menjelajahi repositori open source dan para pengembang.”

Teknik ini dibangun dari taktik lama. Serangan sebelumnya telah menggunakan layanan tepercaya seperti GitHub Gists, Google Drive, atau OneDrive untuk menghosting tautan berbahaya. Dengan memanfaatkan smart contract Ethereum sebagai gantinya, penyerang menambahkan sentuhan kripto pada taktik rantai pasokan yang sudah berbahaya.

Insiden ini merupakan bagian dari kampanye yang lebih luas. ReversingLabs menemukan paket-paket yang terkait dengan repositori GitHub palsu yang menyamar sebagai cryptocurrency trading bot. Repositori ini dipenuhi dengan commit palsu, akun pengguna palsu, dan jumlah bintang yang dilebih-lebihkan agar terlihat sah.

Pengembang yang mengambil kode tersebut berisiko mengimpor malware tanpa menyadarinya.

Risiko rantai pasokan dalam perangkat lunak open-source crypto bukanlah hal baru. Tahun lalu, para peneliti menandai lebih dari 20 kampanye berbahaya yang menargetkan pengembang melalui repositori seperti npm dan PyPI.

Banyak yang ditujukan untuk mencuri kredensial wallet atau menginstal crypto miner. Namun penggunaan smart contract Ethereum sebagai mekanisme pengiriman menunjukkan bahwa para penyerang dengan cepat beradaptasi untuk berbaur ke dalam ekosistem blockchain.

Pelajaran bagi para pengembang adalah bahwa commit populer atau maintainer aktif bisa saja palsu, dan bahkan paket yang tampaknya tidak berbahaya dapat membawa payload tersembunyi.