Peretas DPRK Gunakan 'EtherHiding' untuk Menyimpan Malware di Blockchain Ethereum dan BNB: Google

Google’s Threat Intelligence Group telah memperingatkan bahwa Korea Utara menggunakan EtherHiding—sebuah malware yang bersembunyi di smart contracts blockchain dan memungkinkan pencurian cryptocurrency—dalam operasi peretasan sibernya, karena tahun 2025 diprediksi akan menjadi tahun rekor untuk perampokan crypto oleh negara tersebut.

Meskipun para peneliti Google mengatakan EtherHiding telah digunakan oleh aktor ancaman bermotif finansial yang menyalahgunakan blockchain untuk mendistribusikan infostealers setidaknya sejak September 2023, ini adalah pertama kalinya mereka mengamati penggunaannya oleh sebuah negara. Malware ini sangat tahan terhadap metode pemblokiran dan penurunan konvensional.

“EtherHiding menghadirkan tantangan baru karena kampanye tradisional biasanya dihentikan dengan memblokir domain dan IP yang dikenal,” kata para peneliti dalam sebuah posting blog, dengan menyoroti smart contracts di BNB Smart Chain dan Ethereum sebagai tempat kode berbahaya tersebut berada. Penulis malware dapat “memanfaatkan blockchain untuk melakukan tahap propagasi malware lebih lanjut karena smart contracts beroperasi secara otonom dan tidak dapat dimatikan,” tambah mereka.

Sementara para peneliti keamanan dapat memperingatkan komunitas dengan menandai kontrak sebagai berbahaya pada pemindai blockchain resmi, mereka mencatat, “aktivitas berbahaya masih dapat dilakukan.”

Ancaman peretasan Korea Utara

Peretas Korea Utara telah mencuri lebih dari $2 miliar sejauh tahun ini, sebagian besar berasal dari serangan $1,46 miliar terhadap bursa crypto Bybit pada bulan Februari, menurut laporan Oktober dari perusahaan analitik blockchain Elliptic.

DPRK juga telah dianggap bertanggung jawab atas serangan terhadap LND.fi, WOO X, dan Seedify, serta tiga puluh peretasan lainnya, sehingga total dana yang dicuri oleh negara tersebut hingga saat ini mencapai lebih dari $6 miliar. Dana ini, menurut badan intelijen, membantu membiayai program senjata nuklir dan rudal negara tersebut.

Diperoleh melalui campuran rekayasa sosial, penyebaran malware, dan spionase siber yang canggih, Korea Utara telah mengembangkan berbagai taktik untuk mendapatkan akses ke sistem keuangan atau data sensitif perusahaan. Rezim ini telah membuktikan dirinya bersedia melakukan segala cara untuk melakukannya, termasuk mendirikan perusahaan palsu dan menargetkan pengembang dengan tawaran pekerjaan palsu.

Kasus yang dilaporkan ke Decrypt juga menunjukkan kelompok peretas Korea Utara kini mempekerjakan non-Korea untuk digunakan sebagai kedok agar mereka dapat lolos wawancara kerja di perusahaan teknologi dan crypto karena para pemberi kerja semakin waspada terhadap orang Korea Utara yang menyamar sebagai orang dari negara lain saat wawancara. Penyerang juga dapat memancing korban ke pertemuan video atau rekaman podcast palsu di platform yang kemudian menampilkan pesan kesalahan atau meminta unduhan pembaruan yang mengandung kode berbahaya.

Peretas Korea Utara juga telah menargetkan infrastruktur web konvensional, mengunggah lebih dari 300 paket kode berbahaya ke registry npm, sebuah repositori perangkat lunak open-source yang digunakan oleh jutaan pengembang untuk berbagi dan menginstal perangkat lunak JavaScript.

Bagaimana cara kerja EtherHiding?

Pergeseran terbaru Korea Utara untuk memasukkan EtherHiding dalam arsenalnya dilacak sejak Februari 2025, dan sejak saat itu Google mengatakan telah melacak UNC5342—aktor ancaman Korea Utara yang terkait dengan kelompok peretas negara tersebut, FamousChollima—menggabungkan EtherHiding ke dalam kampanye rekayasa sosial mereka, Contagious Interview.

Penggunaan malware EtherHiding melibatkan penyisipan kode berbahaya ke dalam smart contracts blockchain publik, lalu menargetkan pengguna melalui situs WordPress yang disuntikkan dengan sedikit kode JavaScript.

“Ketika pengguna mengunjungi situs web yang telah dikompromikan, skrip loader dijalankan di browser mereka,” jelas para peneliti Google. “Skrip ini kemudian berkomunikasi dengan blockchain untuk mengambil payload berbahaya utama yang disimpan di server jarak jauh.”

Mereka menambahkan bahwa malware ini menggunakan panggilan fungsi hanya-baca (seperti eth_call), yang tidak membuat transaksi di blockchain. “Ini memastikan pengambilan malware dilakukan secara diam-diam dan menghindari biaya transaksi (yaitu gas fees),” catat mereka. “Setelah diambil, payload berbahaya tersebut dijalankan di komputer korban. Ini dapat menyebabkan berbagai aktivitas berbahaya, seperti menampilkan halaman login palsu, menginstal malware pencuri informasi, atau menyebarkan ransomware.”

Para peneliti memperingatkan bahwa hal ini “menegaskan evolusi berkelanjutan” dari taktik para penjahat siber. “Pada dasarnya, EtherHiding mewakili pergeseran menuju generasi berikutnya dari bulletproof hosting, di mana fitur bawaan teknologi blockchain digunakan kembali untuk tujuan jahat.”