Peretas mengeksploitasi kontrak Ethereum untuk menyembunyikan malware dalam paket npm

• Malware menggunakan kontrak Ethereum untuk perintah tersembunyi
• Paket npm berbahaya mengeksploitasi pustaka open source
• Kampanye palsu mencakup bot trading cryptocurrency

Sebuah laporan terbaru dari perusahaan keamanan ReversingLabs mengungkapkan bahwa peretas menggunakan smart contract Ethereum sebagai bagian dari teknik baru untuk menyembunyikan malware dalam paket npm. Pendekatan ini diidentifikasi pada dua paket yang dipublikasikan pada bulan Juli, bernama "colortoolsv2" dan "mimelib2," yang mengekstrak instruksi command and control langsung dari kontrak on-chain.

Menurut peneliti Lucija Valentic, paket-paket tersebut menjalankan skrip yang diobfusikasi yang melakukan query ke kontrak Ethereum untuk menemukan payload tahap selanjutnya dari infeksi. Metode ini menggantikan praktik tradisional memasukkan tautan langsung ke dalam kode, sehingga lebih sulit bagi pemelihara pustaka untuk mendeteksi dan menghapus malware. "Ini adalah sesuatu yang belum pernah kami lihat sebelumnya," kata Valentic, menyoroti kecanggihan teknik ini dan kecepatan para pelaku ancaman dalam menyesuaikan strategi mereka.

Selain menggunakan smart contract, para penyerang membuat repositori GitHub palsu bertema cryptocurrency, seperti bot trading, yang menampilkan aktivitas yang secara artifisial ditingkatkan. Bintang palsu, commit otomatis, dan profil maintainer fiktif digunakan untuk menipu pengembang agar mempercayai paket-paket tersebut dan memasukkannya ke dalam proyek mereka.

Meskipun paket-paket yang teridentifikasi telah dihapus setelah adanya laporan, ReversingLabs memperingatkan bahwa insiden ini merupakan bagian dari kampanye yang lebih besar yang bertujuan untuk mengkompromikan ekosistem npm dan GitHub. Di antara repositori palsu tersebut terdapat "solana-trading-bot-v2," yang menampilkan ribuan commit dangkal untuk mendapatkan kredibilitas sambil memasukkan dependensi berbahaya.

Valentic menjelaskan bahwa investigasi mengungkapkan bukti adanya upaya terkoordinasi yang lebih luas yang bertujuan menyusupkan kode berbahaya ke dalam pustaka yang banyak digunakan oleh pengembang. "Serangan terbaru oleh pelaku ancaman, termasuk pembuatan serangan canggih menggunakan blockchain dan GitHub, menunjukkan bahwa serangan terhadap repositori terus berkembang," tegasnya.

Perusahaan juga telah mengidentifikasi kampanye sebelumnya yang menyalahgunakan kepercayaan pengembang terhadap paket open-source. Namun, kampanye terbaru ini menunjukkan bagaimana teknologi blockchain secara kreatif diintegrasikan ke dalam skema malware, meningkatkan kompleksitas keamanan dalam ekosistem pengembangan aplikasi dan proyek terkait cryptocurrency.