Mobitekno – Pada 14 Juli 2025, Kaspersky, perusahaan keamanan siber global, melalui Tim Riset dan Analisis Global (GReAT), mengungkap kasus pencurian aset kripto senilai US$500.000. Pencurian ini dilakukan melalui paket sumber terbuka berbahaya yang menargetkan ekosistem pengembangan Cursor, sebuah platform berbasis Visual Studio Code yang digunakan untuk pengkodean berbasis kecerdasan buatan (AI). Penemuan ini menyoroti ancaman siber yang semakin canggih dan menargetkan pengembang, khususnya di bidang blockchain.
Paket berbahaya tersebut menyamar sebagai ekstensi yang mendukung bahasa pemrograman Solidity, yang umum digunakan dalam pengembangan kontrak pintar untuk blockchain seperti Ethereum. Ekstensi ini dihosting di repositori Open VSX dan tampak sah pada pandangan pertama.
Namun, alih-alih memberikan fungsionalitas yang dijanjikan, ekstensi ini mengunduh dan menjalankan kode berbahaya, termasuk backdoor Quasar dan program stealer (pencuri data). Kode ini memungkinkan penyerang untuk mengakses perangkat korban secara jarak jauh, mencuri data sensitif seperti frasa awal dompet kripto, kata sandi, dan informasi dari peramban serta klien email.
Dalam salah satu kasus, seorang pengembang blockchain dari Rusia menjadi korban setelah memasang ekstensi palsu ini. Penyerang berhasil mencuri aset kripto senilai US$500.000 dari dompet digitalnya. Kaspersky menemukan bahwa pelaku ancaman menggunakan taktik cerdas untuk meningkatkan kepercayaan terhadap paket berbahaya mereka.
Mereka secara artifisial memanipulasi jumlah unduhan ekstensi hingga mencapai 54.000, melampaui paket sah, sehingga ekstensi berbahaya muncul di peringkat teratas hasil pencarian untuk kueri “Solidity”. Setelah ekstensi berbahaya dihapus dari repositori, penyerang kembali menerbitkannya dengan jumlah instalasi yang dimanipulasi hingga 2 juta, jauh lebih tinggi dibandingkan 61.000 unduhan paket asli.
Mekanisme serangan
Setelah ekstensi dipasang oleh korban (yang mengiranya sebagai bantuan pemrograman Solidity), mereka justru menjadi sasaran perangkat lunak berbahaya. Bukannya membantu, ekstensi tersebut diam-diam mengunduh dan menjalankan ScreenConnect, alat akses jarak jauh (remote access tool/RAT) yang biasa digunakan untuk dukungan teknis tetapi dalam kasus ini disalahgunakan untuk kejahatan siber.
Dengan kendali penuh terhadap sistem korban, pelaku menanamkan backdoor Quasar serta program stealer untuk mencuri berbagai data sensitif. Salah satu target utamanya adalah seed phrase atau frasa awal dompet kripto korban, yang merupakan kunci utama untuk mengakses aset digital. Begitu penyerang mendapatkan frasa tersebut, mereka dapat memindahkan dan mencuri mata uang kripto korban tanpa sepengetahuan pemiliknya. Dalam laporan Kaspersky, serangan ini berhasil menyebabkan kerugian setidaknya sebesar US$500.000.
Tidak hanya berfokus pada satu ekstensi, pelaku juga memanfaatkan berbagai kanal distribusi populer untuk menyebarkan kode berbahaya. Selain ekstensi palsu yang berfokus pada Solidity, mereka juga menyusupkan paket berbahaya ke dalam platform Node Package Manager (NPM) seperti “solsafe”, serta tiga ekstensi tambahan di Visual Studio Code, yaitu “solaibot”, “among-eth”, dan “blankebesxstnion”. Semuanya menyasar pengembang yang bekerja dengan teknologi blockchain dan Ethereum, yang umumnya berpotensi menyimpan aset kripto bernilai tinggi.
Walaupun seluruh paket dan ekstensi berbahaya telah dihapus dari repositori publik, insiden ini menyoroti lemahnya pengawasan terhadap keamanan dalam ekosistem sumber terbuka. Kasus ini menjadi pengingat penting bahwa setiap ekstensi atau pustaka pihak ketiga harus diperiksa secara cermat sebelum digunakan, terutama dalam ekosistem pengembangan kripto yang sangat rentan terhadap eksploitasi.
Rekomendasi Kaspersky
Kaspersky segera melaporkan temuan ini, yang mengakibatkan penghapusan ekstensi berbahaya dari platform Open VSX. Namun, pelaku ancaman menunjukkan ketangguhan dengan menerbitkan ulang ekstensi serupa. Georgy Kucherin, Peneliti Keamanan di Tim GReAT Kaspersky, memperingatkan bahwa mendeteksi paket sumber terbuka berbahaya semakin sulit, bahkan bagi pengembang berpengalaman. “Penyerang menggunakan taktik kreatif untuk menipu, terutama menargetkan pengembang blockchain yang paham risiko keamanan siber,” ujarnya. Ia menyarankan penggunaan solusi keamanan siber khusus untuk melindungi data sensitif dan mencegah kerugian finansial.
Untuk mencegah serangan serupa, Kaspersky merekomendasikan langkah-langkah berikut:
- Pemantauan Komponen Sumber Terbuka: Gunakan alat untuk memeriksa ancaman yang tersembunyi dalam paket sumber terbuka.
- Layanan Penilaian Kompromi: Jika ada indikasi pelanggaran keamanan, gunakan layanan seperti Kaspersky Compromise Assessment untuk mendeteksi serangan.
- Verifikasi Pengelola Paket: Periksa kredibilitas pengelola atau organisasi di balik paket, termasuk riwayat versi, dokumentasi, dan aktivitas pelacak masalah.
- Tetap Terinformasi: Berlangganan buletin keamanan untuk mendapatkan informasi terkini tentang ancaman siber dalam ekosistem sumber terbuka.
Kasus pencurian kripto ini menegaskan bahwa ancaman siber terus berevolusi, menargetkan bahkan pengguna teknologi yang berpengalaman. Dengan meningkatnya popularitas pengembangan blockchain dan alat berbasis AI seperti Cursor, pelaku ancaman memanfaatkan kepercayaan terhadap repositori sumber terbuka untuk menyebarkan malware. Langkah proaktif seperti yang dilakukan Kaspersky, bersama dengan kewaspadaan pengguna, menjadi kunci untuk melindungi aset digital di era ancaman siber yang semakin kompleks.
Tags: aset kripto, GReAT Kaspersky, kaspersky, Keamanan, pencurian, siber
