Hacker Pakai Cara 'Out of The Box' Curi Kripto, Jangan sampai Anda jadi Korban Berikutnya

Digital, VIVA – Para ahli Kaspersky GReAT (Tim Riset dan Analisis Global) telah menemukan paket sumber terbuka yang mengunduh backdoor Quasar dan sebuah program stealer (pencuri/hacker) yang dirancang untuk mencuri aset kripto.

Paket berbahaya ini ditujukan untuk ekosistem pengembangan Cursor, yang berbasis Visual Studio Code — sebuah alat yang digunakan untuk pengkodean berbasis kecerdasan buatan (AI).

Paket sumber terbuka berbahaya ini merupakan ekstensi yang di-hosting di repositori Open VSX yang mengklaim menyediakan dukungan untuk bahasa pemrograman Solidity.

Namun, dalam praktiknya, paket-paket ini mengunduh dan mengeksekusi kode berbahaya di perangkat pengguna.

Dalam respons insiden, seorang pengembang blockchain dari Rusia menghubungi Kaspersky setelah memasang salah satu ekstensi palsu ini di komputernya, yang memungkinkan hacker mencuri aset kripto senilai US$500 ribu.

Pelaku ancaman di balik paket-paket ini berhasil menipu pengembang dengan membuat peringkat paket berbahaya lebih tinggi daripada paket asli.

Penyerang atau hacker mencapai hal ini dengan meningkatkan jumlah unduhan paket berbahaya secara artifisial menjadi 54 ribu. Setelah instalasi, korban tidak mendapatkan fungsionalitas apa pun dari ekstensi tersebut.

Tapi sebaliknya, perangkat lunak ScreenConnect yang berbahaya diinstal di komputer, yang memberikan akses jarak jauh kepada pelaku kejahatan siber ke perangkat yang terinfeksi.

Dengan akses ini, mereka menyebarkan backdoor Quasar sumber terbuka beserta hacker yang mengumpulkan data dari peramban, email klien dan dompet kripto.

Dengan alat-alat ini, pelaku kejahatan siber berhasil mendapatkan frasa awal dompet pengembang dan kemudian mencuri aset kripto dari akun-akun tersebut.

Setelah ekstensi berbahaya yang diunduh oleh pengembang ditemukan dan dihapus dari repositori, pelaku kejahatan siber menerbitkannya kembali dan secara artifisial meningkatkan jumlah instalasinya ke angka yang lebih tinggi – 2 juta, dibandingkan dengan 61 ribu untuk paket yang sah.

Kaspersky telah melaporkan bahwa ekstensi ini akan dihapus dari platform. Aktor ancaman di balik serangan ini tidak hanya menerbitkan ekstensi Solidity yang berbahaya tetapi juga paket NPM lain, solsafe, yang juga mengunduh ScreenConnect.

Beberapa bulan sebelumnya, tiga ekstensi Visual Studio Code berbahaya lainnya telah dirilis — solaibot, among-eth, dan blankebesxstnion — semuanya telah dihapus dari repositori.

"Mendeteksi paket sumber terbuka yang disusupi dengan mata telanjang menjadi semakin sulit. Aktor ancaman (hacker) menggunakan taktik yang semakin kreatif untuk menipu calon korban, bahkan pengembang yang memiliki pemahaman kuat tentang risiko keamanan siber — terutama mereka yang bekerja di bidang pengembangan blockchain," kata Georgy Kucherin, Peneliti Keamanan Kaspersky.