Ancaman $3B : Bagaimana Malware dalam Perpustakaan Kode Sekarang Menargetkan Kontrak Pintar Ethereum

Ekosistem cryptocurrency menghadapi krisis yang semakin memburuk saat perusahaan keamanan siber ReversingLabs mengungkapkan sebuah vektor serangan yang canggih: aktor ancaman sedang memanfaatkan paket open-source NPM untuk menyuntikkan malware langsung ke dalam kontrak pintar Ethereum. Penemuan ini menandai evolusi berbahaya dalam serangan rantai pasokan terhadap infrastruktur blockchain.

Kerentanan yang Semakin Meningkat pada DeFi: $3B Kerusakan di 2025

Skala ancaman ini sangat besar. Menurut analitik blockchain dari Global Ledger, peretas telah berhasil mencuri $3 miliar dolar dalam 119 insiden terpisah selama paruh pertama tahun 2025—lonjakan sebesar 150% dibandingkan seluruh tahun 2024. Kerusakan ini mencerminkan betapa protocol DeFi yang saling terhubung menjadi target yang mudah untuk serangan terkoordinasi yang memanfaatkan kerentanan bersama.

Kasus yang mencolok menegaskan risiko ini: pada Juli, penyerang mengkompromikan kontrak Rebalancer dari Arcadia Finance di blockchain Base, menguras $2,5 juta dengan memanipulasi parameter swap. Insiden ini menunjukkan bahwa bahkan protocol yang sudah mapan pun menghadapi eksposur signifikan ketika ada celah keamanan.

Kampanye Malware NPM: Bagaimana Zanki dan ReversingLabs Mengungkap Serangan

Investigasi peneliti ReversingLabs, Karlo Zanki, pada awal Juli mengungkap pola yang mengganggu. Aktor ancaman menyembunyikan kode berbahaya di dalam paket NPM yang tampaknya sah, dengan varian paling berbahaya yang diidentifikasi sebagai colortoolsv2 dan mimelib2, keduanya diunggah pada Juli.

Paket-paket ini beroperasi melalui struktur dua file yang dirancang untuk menyembunyikan diri secara maksimal. Komponen utama, sebuah skrip bernama index.js, berisi payload berbahaya tersembunyi yang aktif setelah diinstal dalam proyek pengembang. Yang membuat kampanye ini tak tertandingi adalah mekanisme pengantarnya: malware tidak menggunakan server command-and-control tradisional, melainkan memanfaatkan kontrak pintar Ethereum untuk menyimpan dan mengambil URL untuk mengunduh malware tahap kedua.

Pendekatan ini melewati pemindaian keamanan konvensional dengan memanfaatkan sifat blockchain yang tidak dapat diubah dan terdistribusi sebagai lapisan obfuscation.

Bot Solana Palsu: Bagaimana Legitimasi Palsu Membodohi Pengembang

Para peneliti menemukan repositori GitHub yang dikompromikan bernama solana-trading-bot-v2 yang berisi paket colortoolsv2 berbahaya. Repositori ini tampak dapat dipercaya bagi pengamat kasual—mempunyai ribuan commit, banyak kontributor aktif, dan jumlah bintang yang signifikan—namun semua indikator legitimasi tersebut dibuat secara artifisial.

Setiap pengembang yang menginstal paket ini tanpa sadar memberikan akses kepada penyerang ke dompet pengguna, yang berpotensi menguras semua dana yang terhubung. Serangan ini menggabungkan tiga lapisan penipuan: repositori palsu-legitimasi, kode malware yang disamarkan, dan pengiriman command berbasis blockchain.

Mengapa Kontrak Pintar Menjadi Infrastruktur Serangan

Inovasi di sini menunjukkan pergeseran dalam metodologi penyerang. Alih-alih mempertahankan infrastruktur C2 tradisional yang rentan terhadap penutupan, aktor ancaman kini menggunakan kontrak pintar Ethereum sebagai jaringan distribusi malware permanen dan tahan sensor. Sifat desentralisasi blockchain memastikan pusat perintah ini tetap operasional terlepas dari intervensi penegak hukum.

Menurut CEO AMLBot, Slava Demchuk, kerentanan kontrol akses dan cacat dalam desain kontrak pintar tetap menjadi vektor serangan utama. Arsitektur yang dapat dikomposisi dari protocol DeFi memperbesar kerusakan, memungkinkan penyerang menggabungkan eksploitasi di berbagai platform secara bersamaan.

Peristiwa Kepunahan Rantai Pasokan yang Tidak Disiapkan Siapapun

Konteks yang lebih luas jauh lebih mengkhawatirkan: tahun 2025 menyaksikan ledakan kampanye NPM. Selain colortoolsv2, para peneliti mendokumentasikan paket ethers-provider2 dan ethers-providerz pada bulan Maret, diikuti oleh banyak infostealer, downloader, dan dropper yang ditemukan sepanjang tahun.

Setiap varian malware baru menunjukkan bahwa aktor ancaman telah beralih dari menargetkan pengguna individu ke merusak pipeline pengembangan itu sendiri. Satu paket berbahaya dapat menyusup ke ribuan proyek, mengubah repositori open-source menjadi vektor distribusi.

Apa yang Harus Dilakukan Pengembang Sekarang

Pengawas keamanan menekankan satu tindakan penting: sebelum mengintegrasikan library eksternal apa pun, pengembang harus melakukan penilaian menyeluruh terhadap asal-usul paket, riwayat kontributor, dan keaslian kode. Era mempercayai open-source secara default telah berakhir.

Penemuan ReversingLabs menunjukkan bahwa kontrak pintar Ethereum—yang awalnya dirancang sebagai infrastruktur tanpa kepercayaan—telah menjadi tidak percaya dalam cara yang sama sekali berbeda: aktor ancaman memanfaatkannya sebagai saluran distribusi malware permanen, aman dalam pengetahuan bahwa keabadian blockchain membuat penghapusan menjadi tidak mungkin setelah diterapkan.