Peretas Korea Utara Memanfaatkan Blockchain dalam Kampanye 'EtherHiding' Baru
Ancaman siber baru sedang muncul dari Korea Utara ketika para peretas yang didukung negara tersebut bereksperimen dengan menyisipkan kode berbahaya langsung ke dalam jaringan blockchain.
Google’s Threat Intelligence Group (GTIG) melaporkan pada 17 Oktober bahwa teknik yang disebut EtherHiding ini menandai evolusi baru dalam cara peretas menyembunyikan, mendistribusikan, dan mengendalikan malware di seluruh sistem terdesentralisasi.
Apa itu EtherHiding?
GTIG menjelaskan bahwa EtherHiding memungkinkan penyerang memanfaatkan smart contract dan blockchain publik seperti Ethereum dan BNB Smart Chain dengan menggunakannya untuk menyimpan payload berbahaya.
Setelah sebuah kode diunggah ke ledger terdesentralisasi ini, menghapus atau memblokirnya menjadi hampir mustahil karena sifatnya yang tidak dapat diubah.
“Meskipun smart contract menawarkan cara inovatif untuk membangun aplikasi terdesentralisasi, sifatnya yang tidak dapat diubah dimanfaatkan dalam EtherHiding untuk meng-host dan menyajikan kode berbahaya dengan cara yang tidak dapat dengan mudah diblokir,” tulis GTIG.
Dalam praktiknya, para peretas mengkompromikan situs web WordPress yang sah, sering kali dengan mengeksploitasi kerentanan yang belum ditambal atau kredensial yang dicuri.
Setelah mendapatkan akses, mereka menyisipkan beberapa baris JavaScript—yang dikenal sebagai “loader”—ke dalam kode situs web. Ketika pengunjung membuka halaman yang terinfeksi, loader diam-diam terhubung ke blockchain dan mengambil malware dari server jarak jauh.
EtherHiding di BNB Chain dan Ethereum. Sumber: Google Threat Intelligence Group GTIG menunjukkan bahwa serangan ini sering kali tidak meninggalkan jejak transaksi yang terlihat dan memerlukan sedikit atau tanpa biaya karena terjadi di luar rantai (off-chain). Hal ini, pada dasarnya, memungkinkan para penyerang beroperasi tanpa terdeteksi.
Secara khusus, GTIG melacak kemunculan pertama EtherHiding pada September 2023, ketika muncul dalam kampanye yang dikenal sebagai CLEARFAKE, yang menipu pengguna dengan prompt pembaruan browser palsu.
Bagaimana Cara Mencegah Serangan Ini
Peneliti keamanan siber mengatakan taktik ini menandakan pergeseran strategi digital Korea Utara dari sekadar mencuri cryptocurrency menjadi menggunakan blockchain itu sendiri sebagai senjata tersembunyi.
“EtherHiding mewakili pergeseran menuju bulletproof hosting generasi berikutnya, di mana fitur bawaan teknologi blockchain digunakan kembali untuk tujuan jahat. Teknik ini menyoroti evolusi berkelanjutan ancaman siber saat penyerang beradaptasi dan memanfaatkan teknologi baru untuk keuntungan mereka,” ujar GTIG.
John Scott-Railton, peneliti senior di Citizen Lab, menggambarkan EtherHiding sebagai “eksperimen tahap awal.” Ia memperingatkan bahwa menggabungkannya dengan otomatisasi berbasis AI dapat membuat serangan di masa depan jauh lebih sulit dideteksi.
“Saya memperkirakan para penyerang juga akan bereksperimen dengan memuat exploit zero click langsung ke blockchain yang menargetkan sistem & aplikasi yang memproses blockchain… terutama jika terkadang di-host pada sistem & jaringan yang sama yang menangani transaksi / memiliki wallet,” tambahnya.
Vektor serangan baru ini dapat memiliki dampak serius bagi industri kripto, mengingat penyerang asal Korea Utara sangat produktif.
Data dari TRM Labs menunjukkan bahwa kelompok yang terkait Korea Utara telah mencuri lebih dari $1.5 miliar aset kripto hanya tahun ini saja. Penyelidik percaya dana tersebut membantu mendanai program militer Pyongyang dan upaya menghindari sanksi internasional.
Mengingat hal ini, GTIG menyarankan pengguna kripto untuk mengurangi risiko dengan memblokir unduhan mencurigakan dan membatasi skrip web yang tidak sah. Grup ini juga mendesak peneliti keamanan untuk mengidentifikasi dan memberi label kode berbahaya yang disisipkan dalam jaringan blockchain.
