Kontrak pintar Ethereum diam-diam menyebarkan malware javascript yang menargetkan para pengembang

Peretas menggunakan smart contract Ethereum untuk menyembunyikan payload malware di dalam paket npm yang tampak tidak berbahaya, sebuah taktik yang mengubah blockchain menjadi saluran perintah yang tangguh dan mempersulit upaya penanganan.

ReversingLabs merinci dua paket npm, colortoolsv2 dan mimelib2, yang membaca kontrak di Ethereum untuk mengambil URL pengunduh tahap kedua alih-alih menyematkan infrastruktur secara langsung di dalam paket, sebuah pilihan yang mengurangi indikator statis dan meninggalkan lebih sedikit petunjuk dalam tinjauan kode sumber.

Paket-paket ini muncul pada bulan Juli dan telah dihapus setelah terungkap. ReversingLabs melacak promosi mereka ke jaringan repositori GitHub yang menyamar sebagai trading bot, termasuk solana-trading-bot-v2, dengan bintang palsu, riwayat commit yang dilebih-lebihkan, dan maintainer boneka, sebuah lapisan sosial yang mengarahkan pengembang ke rantai dependensi berbahaya.

Jumlah unduhan memang rendah, namun metodenya yang penting. Menurut The Hacker News, colortoolsv2 diunduh tujuh kali dan mimelib2 satu kali, yang masih sesuai dengan target pengembang oportunistik. Snyk dan OSV kini mencantumkan kedua paket tersebut sebagai berbahaya, memberikan pemeriksaan cepat bagi tim yang mengaudit build historis.

Sejarah terulang kembali

Saluran perintah on-chain ini mencerminkan kampanye yang lebih luas yang dilacak para peneliti pada akhir 2024 di ratusan npm typosquat. Dalam gelombang tersebut, paket menjalankan skrip install atau preinstall yang meminta kontrak Ethereum, mengambil URL dasar, lalu mengunduh payload spesifik OS bernama node-win.exe, node-linux, atau node-macos.

Checkmarx mendokumentasikan kontrak inti di 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b yang dipasangkan dengan parameter wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, dengan infrastruktur yang diamati di 45.125.67.172:1337 dan 193.233.201.21:3001, di antara lainnya.

Deobfuscation dari Phylum menunjukkan pemanggilan ethers.js ke getString(address) pada kontrak yang sama dan mencatat rotasi alamat C2 dari waktu ke waktu, sebuah perilaku yang mengubah status kontrak menjadi pointer yang dapat dipindahkan untuk pengambilan malware. Socket secara independen memetakan banjir typosquat dan menerbitkan IOC yang cocok, termasuk kontrak dan wallet yang sama, mengonfirmasi konsistensi lintas sumber.

Kerentanan lama yang terus berkembang

ReversingLabs menggambarkan paket 2025 sebagai kelanjutan teknik, bukan skala, dengan perbedaan bahwa smart contract menampung URL untuk tahap berikutnya, bukan payload-nya.

Penyebaran melalui GitHub, termasuk stargazer palsu dan commit chore, bertujuan untuk lolos dari pemeriksaan kasual dan memanfaatkan pembaruan dependensi otomatis dalam kloning repos palsu.

Desain ini mirip dengan penggunaan platform pihak ketiga sebelumnya untuk pengalihan, misalnya GitHub Gist atau cloud storage, namun penyimpanan on-chain menambah sifat tidak dapat diubah, dapat dibaca publik, dan tempat netral yang tidak mudah dimatikan oleh pihak pembela.

Menurut ReversingLabs, IOC konkret dari laporan ini meliputi kontrak Ethereum 0x1f117a1b07c108eae05a5bccbe86922d66227e2b yang terkait dengan paket Juli dan kontrak 2024 0xa1b40044EBc2794f207D45143Bd82a1B86156c6b, wallet 0x52221c293a21D8CA7AFD01Ac6bFAC7175D590A84, pola host 45.125.67.172 dan 193.233.201.21 dengan port 1337 atau 3001, serta nama payload platform yang disebutkan di atas.

Hash untuk tahap kedua 2025 termasuk 021d0eef8f457eb2a9f9fb2260dd2e391f009a21, dan untuk gelombang 2024, Checkmarx mencantumkan nilai SHA-256 untuk Windows, Linux, dan macOS. ReversingLabs juga menerbitkan SHA-1 untuk setiap versi npm berbahaya, yang membantu tim memindai penyimpanan artefak untuk paparan di masa lalu.

Melindungi dari serangan

Untuk pertahanan, kontrol langsung adalah mencegah skrip lifecycle berjalan selama instalasi dan CI. npm mendokumentasikan flag --ignore-scripts untuk npm ci dan npm install, dan tim dapat mengaturnya secara global di .npmrc, lalu mengizinkan build yang diperlukan secara selektif dengan langkah terpisah.

Halaman praktik keamanan terbaik Node.js menyarankan pendekatan yang sama, bersama dengan mengunci versi melalui lockfile dan peninjauan lebih ketat terhadap maintainer serta metadata.

Memblokir lalu lintas keluar ke IOC di atas dan memberi peringatan pada log build yang menginisialisasi ethers.js untuk memanggil getString(address) memberikan deteksi praktis yang selaras dengan desain C2 berbasis chain.

Paket-paket tersebut telah hilang, polanya tetap ada, dan pengalihan on-chain kini berdampingan dengan typosquat dan repos palsu sebagai cara berulang untuk mencapai mesin pengembang.

Postingan Ethereum smart contracts quietly push javascript malware targeting developers pertama kali muncul di CryptoSlate.