Kelompok peretas yang berafiliasi dengan Korea Utara (Korut) dilaporkan telah memanfaatkan teknologi blockchain untuk menyembunyikan dan menyebarkan malware secara permanen tanpa bisa dihapus oleh otoritas mana pun.
Temuan ini diungkap oleh Google Threat Intelligence Group (GTIG) dalam laporan terbarunya. Teknik baru penyebaran malware ini bernama EtherHiding, memungkinkan para peretas menanamkan kode berbahaya langsung ke dalam kontrak pintar di blockchain publik seperti Ethereum dan BNB Smart Chain.
Menurut GTIG, metode ini digunakan oleh kelompok siber bernama UNC5342, yang selama ini dikenal sebagai bagian dari jaringan peretas negara Korut.
Melalui teknik EtherHiding, kelompok tersebut mampu menjadikan blockchain sebagai sarana distribusi dan kendali malware, sehingga kode berbahaya yang ditanam tidak dapat dihapus ataupun diblokir oleh penyedia keamanan siber.
“EtherHiding memanfaatkan sifat dasar blockchain yang tidak dapat diubah dan terdesentralisasi, menjadikannya infrastruktur yang ideal untuk menyembunyikan perintah atau payload berbahaya,” ujar salah satu analis keamanan dari tim GTIG.
Teknik EtherHiding Jadi Senjata Siber Baru
Dalam penyelidikan yang sama, Google mengidentifikasi bahwa kampanye siber yang dijalankan kelompok UNC5342 menggunakan metode social engineering untuk menipu korban. Peretas berpura-pura menawarkan pekerjaan kepada pengembang kripto melalui platform profesional seperti LinkedIn.
Ketika calon korban menerima tawaran tersebut dan diminta mengunduh berkas tugas, file itu ternyata berisi kode yang akan terhubung ke kontrak pintar berisi malware di blockchain. Setelah terhubung, sistem korban akan otomatis mengunduh instruksi berbahaya tambahan dari jaringan.
GTIG juga menemukan adanya kelompok lain bernama UNC5142 yang memakai teknik serupa sejak akhir 2023.
Kelompok ini menyebarkan infostealer melalui situs WordPress yang dikompromikan, dengan memanfaatkan blockchain untuk menyimpan dan memperbarui komponen berbahaya tanpa meninggalkan jejak transaksi yang mencolok.
Dengan demikian, kedua kelompok tersebut berhasil menciptakan mekanisme serangan yang sulit dideteksi oleh sistem keamanan konvensional.
Secara teknis, EtherHiding bekerja melalui panggilan read-only pada kontrak pintar, yang memungkinkan eksekusi kode tanpa perlu melakukan transaksi di blockchain. Hal ini membuat aktivitas mereka tampak wajar di mata pengamat jaringan.
Karena tidak ada alamat IP, domain, atau server pusat yang bisa dilacak, metode ini menjadikan blockchain sekaligus sebagai sarana penyimpanan dan pengendalian jarak jauh bagi malware.
Ancaman Serius bagi Industri Kripto dan Keamanan Siber
Penggunaan blockchain untuk menyembunyikan malware menjadi babak baru dalam evolusi ancaman siber. Teknologi yang selama ini dikenal tahan retas justru berpotensi menjadi alat bagi kejahatan digital berskala internasional.
Google menyebut insiden ini sebagai contoh pertama di mana aktor negara (nation-state) memanfaatkan blockchain sebagai media command-and-control (C2) untuk serangan dunia maya.
Risiko yang ditimbulkan dari serangan semacam ini tidak hanya sebatas pencurian aset kripto. Dalam banyak kasus, peretas juga dapat memperoleh akses ke sistem internal, mencuri data sensitif, hingga memasang backdoor permanen di perangkat korban.
Karena sifat blockchain yang tidak bisa dimodifikasi, kontrak berisi kode berbahaya tersebut dapat terus aktif meskipun otoritas keamanan telah mencoba menutup aksesnya.
GTIG memperingatkan bahwa serangan EtherHiding dapat berkembang menjadi ancaman luas terhadap pengembang, investor dan institusi yang aktif di sektor Web3.
Organisasi yang menggunakan blockchain dalam sistem internalnya diminta meningkatkan pengawasan terhadap aktivitas jaringan yang tidak biasa, terutama interaksi dengan kontrak pintar yang belum diverifikasi.
Untuk mencegah serangan serupa, GTIG merekomendasikan agar perusahaan membatasi eksekusi skrip tak dikenal, menerapkan kebijakan keamanan ketat pada peramban internal, serta memastikan setiap perangkat lunak berasal dari sumber resmi.
Sementara bagi pengguna kripto, disarankan untuk tidak menghubungkan dompet digital ke kontrak yang mencurigakan dan selalu memverifikasi alamat tujuan transaksi.
Fenomena EtherHiding menunjukkan bahwa inovasi dalam teknologi blockchain tidak hanya membawa manfaat, tetapi juga membuka celah baru bagi pelaku kejahatan siber.
Dengan kemampuan untuk menyimpan malware secara permanen, blockchain kini menghadapi paradoks, di mana sistem yang diciptakan untuk transparansi dan keamanan justru dapat menjadi senjata bagi serangan digital yang nyaris tak bisa dihentikan. [st]
Disclaimer: Konten di Blockchainmedia.id hanya bersifat informatif, bukan nasihat investasi atau hukum. Segala keputusan finansial sepenuhnya tanggung jawab pembaca.
