Kampanye yang sedang berlangsung menargetkan pengembang npm dengan ratusan versi kesalahan ketik dari versi sah mereka dalam upaya mengelabui mereka agar menjalankan malware lintas platform.
Serangan ini terkenal karena memanfaatkan kontrak pintar Ethereum untuk distribusi alamat server perintah dan kontrol (C2), menurut temuan independen dari Checkmarx, Phylum, dan Socket yang diterbitkan selama beberapa hari terakhir.
Kegiatan tersebut pertama kali ditandai pada tanggal 31 Oktober 2024, meski dikatakan telah berlangsung setidaknya seminggu sebelumnya. Tidak kurang dari 287 paket typosquat telah dipublikasikan ke registri paket npm.
“Saat kampanye ini mulai dilakukan dengan sungguh-sungguh, menjadi jelas bahwa penyerang ini berada pada tahap awal kampanye kesalahan ketik yang menargetkan pengembang yang berniat menggunakan Puppeteer, Bignum.js, dan berbagai perpustakaan mata uang kripto yang populer,” kata Phylum.
Paket-paket tersebut berisi JavaScript yang dikaburkan yang dijalankan selama (atau setelah) proses instalasi, yang pada akhirnya mengarah pada pengambilan biner tahap berikutnya dari server jarak jauh berdasarkan sistem operasi.
Biner, pada bagiannya, membangun persistensi dan menyaring informasi sensitif terkait mesin yang disusupi kembali ke server yang sama.
Namun menariknya, kode JavaScript berinteraksi dengan kontrak pintar Ethereum menggunakan perpustakaan ethers.js untuk mengambil alamat IP. Perlu disebutkan di sini bahwa kampanye yang dijuluki EtherHiding memanfaatkan taktik serupa dengan menggunakan kontrak Smart Chain (BSC) Binance untuk berpindah ke fase rantai serangan berikutnya.
Sifat blockchain yang terdesentralisasi berarti lebih sulit untuk memblokir kampanye karena alamat IP yang diberikan dalam kontrak dapat diperbarui seiring waktu oleh pelaku ancaman, sehingga memungkinkan malware untuk terhubung dengan mulus ke alamat IP baru saat alamat IP lama diblokir atau dihapus.
“Dengan menggunakan blockchain dengan cara ini, para penyerang mendapatkan dua keuntungan utama: infrastruktur mereka menjadi hampir mustahil untuk dihancurkan karena sifat blockchain yang tidak dapat diubah, dan arsitektur yang terdesentralisasi membuat sangat sulit untuk memblokir komunikasi ini,” kata peneliti Checkmarx Yehuda Gelb. .
Saat ini tidak jelas siapa yang berada di balik kampanye tersebut, meskipun Tim Peneliti Ancaman Socket mengatakan bahwa mereka mengidentifikasi pesan kesalahan yang ditulis dalam bahasa Rusia untuk tujuan penanganan pengecualian dan pencatatan, sehingga menunjukkan bahwa pelaku ancaman tersebut mungkin adalah orang yang berbahasa Rusia.
Perkembangan ini sekali lagi menunjukkan cara-cara baru yang dilakukan penyerang untuk meracuni ekosistem open-source, sehingga mengharuskan pengembang untuk waspada ketika mengunduh paket dari repositori perangkat lunak.
“Penggunaan teknologi blockchain untuk infrastruktur C2 mewakili pendekatan berbeda terhadap serangan rantai pasokan di ekosistem npm, menjadikan infrastruktur serangan lebih tahan terhadap upaya penghapusan sekaligus mempersulit upaya deteksi,” kata Gelb.