Peneliti keamanan siber telah menemukan paket berbahaya di registri paket npm yang menyamar sebagai perpustakaan untuk mendeteksi kerentanan dalam kontrak pintar Ethereum tetapi, pada kenyataannya, menjatuhkan trojan akses jarak jauh sumber terbuka yang disebut Quasar RAT ke sistem pengembang.
Paket yang sangat dikaburkan, bernama ethereumvulncontracthandler, diterbitkan ke npm pada tanggal 18 Desember 2024, oleh pengguna bernama “solidit-dev-416.” Pada saat penulisan, ini terus tersedia untuk diunduh. Ini telah diunduh 66 kali hingga saat ini.
“Setelah instalasi, ia mengambil skrip berbahaya dari server jauh, mengeksekusinya secara diam-diam untuk menyebarkan RAT pada sistem Windows,” kata peneliti keamanan Socket Kirill Boychenko dalam analisis yang diterbitkan bulan lalu.
Kode berbahaya yang tertanam dalam ethereumvulncontracthandler dikaburkan dengan beberapa lapisan kebingungan, memanfaatkan teknik seperti pengkodean Base64 dan XOR, serta minifikasi untuk menolak upaya analisis dan deteksi.
Malware juga melakukan pemeriksaan untuk menghindari berjalan di lingkungan sandbox, sebelum bertindak sebagai pemuat dengan mengambil dan mengeksekusi muatan tahap kedua dari server jarak jauh (“jujuju[.]lat”). Skrip ini dirancang untuk menjalankan perintah PowerShell untuk memulai eksekusi Quasar RAT.
Trojan akses jarak jauh, pada bagiannya, membangun persistensi melalui modifikasi Windows Registry dan menghubungi server perintah-dan-kontrol (C2) (“captchacdn[.]com:7000”) untuk menerima instruksi lebih lanjut yang memungkinkannya mengumpulkan dan menyaring informasi.
Quasar RAT, pertama kali dirilis secara publik di GitHub pada bulan Juli 2014, telah digunakan untuk kampanye kejahatan dunia maya dan spionase dunia maya oleh berbagai pelaku ancaman selama bertahun-tahun.
“Pelaku ancaman juga menggunakan server C2 ini untuk membuat katalog mesin yang terinfeksi, dan mengelola beberapa host yang disusupi secara bersamaan jika kampanye ini merupakan bagian dari infeksi botnet,” kata Boychenko.
“Pada tahap ini, mesin korban telah sepenuhnya disusupi, dan berada di bawah pengawasan dan kendali penuh oleh pelaku ancaman, siap untuk check-in rutin dan menerima instruksi terkini.”
Masalah Balon yang Meningkat dari Bintang Palsu di GitHub
Pengungkapan ini terjadi ketika studi baru yang dilakukan oleh Socket, bersama dengan akademisi dari Carnegie Mellon University dan North Carolina State University telah mengungkapkan lonjakan pesat “bintang” tidak autentik yang digunakan untuk secara artifisial meningkatkan popularitas repositori GitHub yang dipenuhi malware.
Meskipun fenomena ini sudah ada selama beberapa waktu, penelitian ini menemukan bahwa sebagian besar bintang palsu digunakan untuk mempromosikan repositori malware berumur pendek yang menyamar sebagai perangkat lunak pembajakan, cheat game, dan bot mata uang kripto.
Diiklankan melalui pedagang bintang GitHub seperti Baddhi Shop, BuyGitHub, FollowDeh, R for Rank, dan Twidium, pasar gelap “terbuka” diduga berada di balik 4,5 juta bintang “palsu” dari 1,32 juta akun dan mencakup 22.915 repositori, yang menggambarkan skala masalahnya.
Baddhi Shop, menurut The Hacker News, memungkinkan calon pelanggan membeli 1.000 bintang GitHub seharga $110. “Beli Pengikut, Bintang, Garpu, dan Pengamat GitHub untuk meningkatkan kredibilitas dan visibilitas repositori Anda,” demikian bunyi deskripsi di situs tersebut. “Keterlibatan nyata akan menarik lebih banyak pengembang dan kontributor ke proyek Anda!”
“Hanya sedikit repositori dengan kampanye bintang palsu yang dipublikasikan dalam registrasi paket seperti npm dan PyPI,” kata para peneliti. “Bahkan lebih sedikit lagi yang diadopsi secara luas. Setidaknya 60% akun yang berpartisipasi dalam kampanye bintang palsu memiliki pola aktivitas yang sepele.”
Karena rantai pasokan perangkat lunak sumber terbuka terus menjadi vektor yang menarik bagi serangan dunia maya, temuan ini menegaskan kembali bahwa jumlah bintang saja sudah merupakan sinyal kualitas atau reputasi yang tidak dapat diandalkan dan tidak boleh digunakan tanpa tinjauan lebih lanjut.
Dalam pernyataan yang dibagikan kepada WIRED pada Oktober 2023, platform hosting kode milik Microsoft mengatakan bahwa mereka telah menyadari masalah ini selama bertahun-tahun dan secara aktif berupaya menghapus bintang palsu dari layanan tersebut.
“Kerentanan utama jumlah bintang sebagai metrik terletak pada kenyataan bahwa tindakan semua pengguna GitHub memiliki bobot yang sama dalam definisinya,” kata para peneliti.
“Akibatnya, jumlah bintang dapat dengan mudah meningkat dengan banyaknya akun bot atau (reputasi rendah) manusia yang melakukan crowdsourcing, seperti yang telah kami tunjukkan dalam penelitian kami. Untuk menghindari eksploitasi seperti itu, GitHub dapat mempertimbangkan untuk menghadirkan metrik berbobot ke repositori sinyal popularitas (misalnya, berdasarkan dimensi sentralitas jaringan), yang jauh lebih sulit untuk dipalsukan.”
