Para ahli dari Kaspersky GReAT, yang merupakan Tim Riset dan Analisis Global, baru-baru ini mengungkapkan modus operandi baru yang digunakan para peretas untuk mencuri aset kripto dari para pengembang. Metode ini terbukti efektif, dengan kerugian mencapai sekitar Rp7 miliar atau setara dengan US$500 ribu. Penggunaan paket sumber terbuka yang menyimpan backdoor dan kemampuan pencurian menjadi sorotan utama dari kasus ini.
Paket berbahaya tersebut ditujukan untuk pengguna Visual Studio Code, sebuah alat populer untuk pengembangan perangkat lunak, terutama yang berbasis kecerdasan buatan (AI). Dalam analisis yang dilakukan, Kaspersky menemukan bahwa paket ini berada dalam repositori Open VSX dan mengklaim menyediakan dukungan untuk bahasa pemrograman Solidity, yang sering digunakan dalam proyek blockchain.
Walau paketan ini tampak sah, setelah diunduh, ternyata ia mengunduh dan mengeksekusi kode berbahaya tanpa sepengetahuan pengguna. Sebuah insiden menarik perhatian ketika seorang pengembang blockchain asal Rusia menghubungi Kaspersky, setelah mengeksploitasi salah satu ekstensi yang tidak diketahui ini, yang mengakibatkan pencurian aset kripto dari akunnya.
Kejadian ini mencerminkan bagaimana para pelaku kejahatan siber berhasil meningkatkan peringkat paket berbahaya dengan menipu, sehingga terlihat lebih unggul dibandingkan paket asli. Mereka berhasil meningkatkan jumlah unduhan secara artifisial hingga mencapai 54 ribu, yang memberikan kesan bahwa paket tersebut aman dan populer.
Setelah paket berbahaya diinstal, perangkat lunak ScreenConnect yang berbahaya juga terpasang di komputer korban. Hal ini memberi akses jarak jauh kepada peretas, memungkinkan mereka untuk menyebarkan backdoor Quasar. Dengan kontrol ini, hacker dapat mengeksploitasi data dari peramban, klien email, dan dompet kripto pengguna. Dengan teknik ini, mereka berhasil mendapatkan frasa awal dari dompet digital para pengembang dan melancarkan tindakan pencurian.
Meskipun ekstensi berbahaya ini berhasil dihapus dari repositori, peretas tidak tinggal diam. Mereka menerbitkan kembali ekstensi tersebut dan kembali meningkatkan angka instalasinya ke lebih dari 2 juta, sementara untuk paket yang sah hanya mencapai 61 ribu. Tidak hanya itu, pelaku kejahatan juga mendistribusikan paket berbahaya lainnya yang dikenal sebagai solsafe, yang juga dilaporkan mengunduh ScreenConnect.
Beberapa bulan sebelumnya, para peneliti Kaspersky juga menemukan tiga ekstensi Visual Studio Code berbahaya lainnya yang dinamakan solaibot, among-eth, dan blankebesxstnion. Semua ekstensi ini telah dihapus dari repositori setelah terdeteksi berbahaya.
Kekhawatiran yang berkembang saat ini adalah meningkatnya kesulitan untuk mendeteksi paket sumber terbuka yang telah disusupi. Menurut Georgy Kucherin, seorang peneliti keamanan dari Kaspersky, “Mendeteksi paket sumber terbuka yang disusupi dengan mata telanjang menjadi semakin sulit. Aktor ancaman menggunakan taktik yang semakin kreatif untuk menipu calon korban, bahkan bagi para pengembang yang sudah memahami risiko keamanan siber.”
Kasus ini harus menjadi pengingat bagi para pengembang dan pengguna kripto untuk lebih berhati-hati. Dengan ancaman yang semakin canggih, kewaspadaan dan pengawasan yang lebih ketat dalam memilih sumber daya dan ekstensi yang digunakan dalam pengembangan sangat diperlukan. Selain itu, semakin banyaknya teknologi berbasis AI menambah lapisan kompleksitas dalam keamanan siber, membuat perlindungan yang lebih baik menjadi suatu keharusan.
-
-
-
-
