Jakarta – Para pengembang aset kripto di indonesia diimbau untuk waspada terhadap ancaman siber.Pasalnya, Tim Riset dan Analisis Global (GReAT) Kaspersky menemukan adanya paket sumber terbuka berbahaya yang menyasar ekosistem pengembangan Cursor berbasis Visual Studio Code. Paket ini dirancang untuk mencuri aset kripto dengan mengunduh backdoor Quasar dan program stealer.
Ekstensi palsu yang di-host di repositori Open VSX ini mengklaim menyediakan dukungan untuk bahasa pemrograman Solidity. Namun, alih-alih memberikan fungsionalitas yang dijanjikan, ekstensi tersebut justru mengunduh dan mengeksekusi kode berbahaya pada perangkat pengguna.
Kasus ini terungkap setelah seorang pengembang blockchain asal rusia melaporkan kejadian hilangnya aset kripto senilai US$500 ribu setelah memasang ekstensi palsu. Pengembang tersebut kemudian menghubungi Kaspersky untuk meminta bantuan.Modus operandi pelaku kejahatan siber adalah dengan memanipulasi peringkat paket berbahaya agar terlihat lebih tinggi dari paket aslinya. Mereka meningkatkan jumlah unduhan paket berbahaya secara artifisial hingga mencapai 54 ribu.
Setelah terinstal, ekstensi berbahaya tersebut memasang perangkat lunak ScreenConnect yang memberikan akses jarak jauh kepada pelaku kejahatan siber ke perangkat yang terinfeksi. Dengan akses tersebut, mereka menyebarkan backdoor Quasar dan program peretas yang mengumpulkan data dari peramban, klien email, dan dompet kripto. Data-data ini kemudian digunakan untuk mendapatkan frasa awal dompet pengembang dan mencuri aset kripto dari akun-akun tersebut.
Kaspersky melaporkan bahwa setelah ekstensi berbahaya tersebut ditemukan dan dihapus dari repositori, para pelaku kejahatan siber menerbitkannya kembali dan secara artifisial meningkatkan jumlah instalasinya menjadi lebih tinggi, yakni 2 juta, dibandingkan dengan 61 ribu untuk paket yang sah. Kaspersky juga melaporkan bahwa ekstensi ini akan segera dihapus dari platform. Selain ekstensi Solidity berbahaya, para pelaku juga menerbitkan paket NPM lain bernama solsafe, yang juga mengunduh ScreenConnect.Sebelumnya, beberapa bulan lalu, tiga ekstensi Visual Studio Code berbahaya lainnya juga telah dirilis, yaitu solaibot, among-eth, dan blankebesxstnion. Ketiganya telah dihapus dari repositori.
Peneliti Keamanan Kaspersky, Georgy Kucherin, mengatakan bahwa mendeteksi paket sumber terbuka yang disusupi semakin sulit. “Aktor ancaman (hacker) menggunakan taktik yang semakin kreatif untuk menipu calon korban,bahkan pengembang yang memiliki pemahaman kuat tentang risiko keamanan siber,terutama mereka yang bekerja di bidang pengembangan blockchain,” katanya.
