Laporan keamanan siber baru dari Google mengungkapkan bahwa hacker yang didukung negara, khususnya yang berafiliasi dengan Korea Utara, mengeksploitasi sifat immutable dari blockchain publik untuk menciptakan sistem distribusi malware yang hampir tak dapat dihancurkan. Teknik ini, yang dijuluki EtherHiding, menandai evolusi signifikan dalam infrastruktur serangan siber, mengubah teknologi fondasi dari cryptocurrency menjadi senjata melawan komunitas keamanan yang selama ini mendukung desentralisasi.
 |
|---|
| Representasi menarik dari teknologi blockchain yang menggambarkan kompleksitas dan inovasinya, relevan dengan analisis ancaman siber yang disponsori negara |
Kemunculan EtherHiding
Google's Threat Intelligence Group telah mengidentifikasi kampanye canggih di mana hacker menyematkan kode berbahaya langsung ke dalam smart contract di blockchain publik seperti Ethereum dan BNB Smart Chain. Pendekatan ini merepresentasikan apa yang para peneliti gambarkan sebagai hosting bulletproof generasi berikutnya, menghilangkan kebutuhan akan server tradisional lepas pantai yang kadang dapat diganggu oleh penegak hukum. Desain inherent dari teknologi blockchain—khususnya desentralisasi dan immutability-nya—membuat muatan apa pun yang disimpan di dalamnya menjadi permanen dan berada di luar jangkauan upaya penurunan konvensional.
Platform Blockchain yang Dieksploitasi:
- Ethereum
- BNB Smart Chain (dikenal karena biaya transaksi yang lebih rendah)
 |
|---|
| Flowchart terperinci yang menunjukkan metode penyisipan malware dalam smart contract, mengilustrasikan teknik EtherHiding yang digunakan oleh peretas |
Cara Kerja Strategi Serangan
Urutan serangan dimulai dengan social engineering, di mana hacker yang menyamar sebagai perekrut menargetkan pengembang perangkat lunak dengan tawaran pekerjaan palsu. Tawaran ini mengharuskan kandidat untuk menyelesaikan tugas teknis yang diam-diam berisi malware tahap awal. Setelah dijalankan, malware ini kemudian berkomunikasi dengan smart contract berbahaya di blockchain publik untuk mengambil payload sekunder. Seluruh proses memanfaatkan fungsi panggilan read-only blockchain, yang tidak membuat transaksi yang terlihat dalam log, memungkinkan hacker untuk mengambil kode berbahaya tanpa meninggalkan jejak yang jelas bagi analis keamanan untuk diikuti.
Koneksi Korea Utara dan Perangkat Malware
Google mengaitkan aktivitas ini terutama pada grup yang dilacaknya sebagai UNC5342, yang dikaitkan dengan operasi siber yang didukung negara Korea Utara. Perangkat grup ini termasuk pengunduh bernama JadeSnow yang mengambil backdoor canggih bernama InvisibleFerret langsung dari smart contract berbasis blockchain. Konsistensi pola-pola ini menunjukkan bahwa pengiriman malware berbasis blockchain sedang menjadi alat andalan di antara ancaman tingkat lanjut, dengan grup Korea Utara telah mencuri aset digital melebihi 2 miliar dolar AS sejak awal tahun 2025 menurut firma analisis blockchain Elliptic.
Kelompok Ancaman dan Alat Utama:
- UNC5342: Kelompok yang disponsori negara Korea Utara menggunakan EtherHiding
- JadeSnow: Downloader JavaScript yang mengambil payload dari blockchain
- InvisibleFerret: Backdoor berfitur lengkap yang memungkinkan spionase dan pencurian data
- UNC5142: Kelompok bermotif finansial yang juga mengadopsi teknik EtherHiding
Sifat Serangan Blockchain yang Efektif Biaya
Salah satu aspek yang paling mengkhawatirkan dari metode serangan ini adalah keterjangkauannya. Membuat atau mengubah smart contract berbahaya biasanya berbiaya kurang dari 2 dolar AS per transaksi, menjadikannya jauh lebih murah daripada mempertahankan layanan hosting bawah tanah tradisional. Hambatan masuk yang rendah ini, dikombinasikan dengan fitur anonimitas teknologi blockchain yang melindungi identitas penyerang, menciptakan lingkungan yang ideal untuk operasi siber yang persisten. Sifat terdistribusi dari platform-platform ini juga menghilangkan titik kendali atau kegagalan tunggal yang dapat ditargetkan oleh para pembela.
Biaya Serangan:
- Membuat/mengubah smart contract berbahaya: < USD 2 per transaksi
- Layanan hosting underground tradisional: Jauh lebih mahal
Tantangan Pertahanan dan Potensi Penangkal
Bagi tim keamanan siber, EtherHiding menghadirkan tantangan pertahanan yang substansial. Karena kode berbahaya tertanam di dalam blockchain itu sendiri, kode tersebut tidak dapat dihapus atau dimodifikasi. Para profesional keamanan mencatat bahwa penangkal potensial termasuk memblokir panggilan JSON-RPC spesifik yang mengambil data smart contract, menegakkan kebijakan ekstensi browser yang ketat, dan menerapkan proses verifikasi pembaruan yang kuat untuk mencegah peringatan keamanan palsu mendapatkan daya tarik. Namun, langkah-langkah ini lebih mewakili penahanan daripada eliminasi ancaman, menyoroti permainan kucing-kucingan yang berlangsung terus antara penyerang dan pembela dalam lanskap keamanan siber.