Serangan ini menggunakan paket sumber terbuka berbahaya yang menyamar sebagai ekstensi sah untuk bahasa pemrograman Solidity, namun secara diam-diam mengunduh backdoor Quasar dan program pencuri data.
Modus operandi pelaku ancaman ini cukup cerdik. Mereka menghosting paket berbahaya di repositori Open VSX dan secara artifisial meningkatkan jumlah unduhannya hingga 54.000, membuat paket tersebut tampak lebih kredibel daripada ekstensi Solidity yang asli. Seorang pengembang blockchain asal Rusia menjadi salah satu korbannya setelah menginstal ekstensi palsu ini, yang berujung pada hilangnya aset kripto senilai setengah juta dolar.
Setelah instalasi, ekstensi berbahaya ini tidak memberikan fungsionalitas apa pun kepada korban. Sebaliknya, ia memasang perangkat lunak ScreenConnect yang berbahaya di komputer, memberikan akses jarak jauh penuh kepada pelaku kejahatan siber ke perangkat yang terinfeksi.
Dengan akses ini, mereka menyebarkan backdoor Quasar sumber terbuka dan program stealer yang dirancang untuk mengumpulkan data sensitif dari peramban, klien email, dan terutama dompet kripto. Melalui alat-alat ini, pelaku berhasil memperoleh frasa awal dompet pengembang, memungkinkan mereka untuk mencuri aset kripto yang tersimpan.
Menariknya, setelah ekstensi berbahaya yang awalnya diunduh oleh korban berhasil dihapus dari repositori, pelaku kejahatan siber menerbitkannya kembali. Mereka bahkan lebih agresif dengan secara artifisial meningkatkan jumlah instalasinya menjadi 2 juta, jauh melampaui 61.000 instalasi paket yang sah. Kaspersky telah melaporkan ekstensi ini untuk dihapus kembali dari platform.
Georgy Kucherin, Peneliti Keamanan di Tim Riset dan Analisis Global Kaspersky, mengomentari insiden ini. "Mendeteksi paket sumber terbuka yang disusupi dengan mata telanjang menjadi semakin sulit. Pelaku ancaman menggunakan taktik yang semakin kreatif untuk menipu calon korban, bahkan pengembang yang memiliki pemahaman kuat tentang risiko keamanan siber—terutama mereka yang bekerja di bidang pengembangan blockchain."
Kucherin menambahkan bahwa pelaku diperkirakan akan terus menargetkan pengembang, sehingga solusi keamanan khusus sangat disarankan untuk melindungi data sensitif dan mencegah kerugian finansial.
Selain ekstensi Solidity yang berbahaya, aktor ancaman di balik serangan ini juga menerbitkan paket NPM lain bernama `solsafe`, yang juga mengunduh ScreenConnect. Beberapa bulan sebelumnya, tiga ekstensi Visual Studio Code berbahaya lainnya—`solaibot`, `among-eth`, dan `blankebesxstnion`—juga telah dirilis dan kini telah dihapus dari repositori.
Kaspersky merekomendasikan penggunaan solusi untuk memantau komponen sumber terbuka, memverifikasi kredibilitas pengelola paket, dan tetap terinformasi tentang ancaman yang muncul dengan berlangganan buletin dan saran keamanan terkait ekosistem sumber terbuka.
Bagi perusahaan yang mencurigai adanya kompromi infrastruktur, layanan Kaspersky Compromise Assessment juga dapat digunakan untuk mengungkap serangan yang telah atau sedang berlangsung.
Cek Berita dan Artikel yang lain di
Google News
