Dunia pengembangan perangkat lunak kembali dihebohkan dengan temuan serangan siber yang menargetkan rantai pasok. Kali ini, puluhan versi paket npm yang diterbitkan di bawah namespace Red Hat Cloud Services dilaporkan terinfeksi malware berbahaya bernama Mini Shai-Hulud.
Baca Juga: Microsoft Siapkan ‘Copilot Super App’, Satukan Berbagai Fitur AI dalam Satu Platform
Malware ini, yang merupakan varian dari worm Shai-Hulud yang sebelumnya di-open source oleh kelompok siber TeamPCP, telah diunduh hingga sekitar 80.000 kali setiap minggunya, menimbulkan kekhawatiran serius di kalangan pengembang dan perusahaan.
Dilansir dari theregister.com, peneliti keamanan dari Wiz, sebuah perusahaan yang dimiliki Google, berhasil melacak asal-usul malware ini ke akun GitHub seorang karyawan Red Hat yang telah disusupi. Serangan rantai pasok ini memengaruhi setidaknya 32 rilis paket npm, dengan perusahaan keamanan siber Socket bahkan menghitung hingga 95 versi paket yang terinfeksi.
Baca Juga: Huawei Vision Smart Screen 6 Pro: Solusi Layar Anti-Refleksi dan AI Cerdas untuk Ruang Keluarga
Serangan ini memanfaatkan celah keamanan melalui “malicious orphan commits” yang disisipkan ke dua repositori RedHatInsights, berhasil melewati proses peninjauan kode yang seharusnya ketat. Malware Mini Shai-Hulud dirancang untuk mengeksekusi muatan tersembunyi melalui “preinstall hook,” sebuah mekanisme yang memungkinkan kode berbahaya berjalan secara otomatis selama proses instalasi npm, bahkan sebelum pengembang sempat mengimpor atau menggunakan paket tersebut. Ini berarti, begitu paket terinfeksi diunduh dan diinstal, malware langsung aktif tanpa disadari.
Muatan malware ini sangat berbahaya. Analisis dari tim riset Socket menunjukkan bahwa Shai-Hulud dirancang untuk mengumpulkan berbagai informasi sensitif.
Ini termasuk rahasia GitHub Actions, token npm, kredensial cloud, materi Kubernetes dan Vault, kunci SSH, kredensial Git, serta berbagai file penting lainnya. Lebih jauh, malware ini juga dilengkapi dengan logika eksfiltrasi terenkripsi dan mekanisme cadangan berbasis GitHub, mengindikasikan bahwa penyerang tidak hanya bertujuan mencuri kredensial, tetapi juga berpotensi memungkinkan penyebaran lebih lanjut dalam rantai pasok.
“Akun yang disusupi mendorong komit yatim piatu berbahaya ke dua repositori RedHatInsights, melewati tinjauan kode,” kata para pemburu ancaman dalam sebuah blog pada hari Senin. “Ini terjadi dalam dua gelombang aktivitas.”
Menanggapi laporan ini, juru bicara Red Hat menyatakan bahwa perusahaan perangkat lunak milik IBM tersebut telah mengetahui insiden ini. Red Hat segera meluncurkan investigasi dan telah menghapus paket-paket yang terinfeksi dari registri npm.
“Kami segera memulai investigasi dan menghapus paket-paket dari registri npm,” kata juru bicara tersebut. “Paket-paket tersebut secara ketat terbatas pada pengembangan internal, dan kode berbahaya tidak pernah dipublikasikan untuk konsumsi pelanggan melalui sistem console.redhat.com. Meskipun investigasi kami sedang berlangsung, kami belum mengidentifikasi dampak apa pun terhadap lingkungan pelanggan atau mitra atau sistem produksi Red Hat.”
Meskipun demikian, baik Wiz maupun Socket mencatat bahwa malware ini sangat mirip dengan worm Mini Shai-Hulud yang telah di-open source. Hal ini menyulitkan untuk memastikan apakah TeamPCP sendiri atau kelompok peniru yang bertanggung jawab atas infeksi terbaru ini. Menurut Wiz, modifikasi pada varian baru ini sebagian besar bersifat kosmetik, dengan referensi ke alam semesta Dune diganti dengan tema mitologi Yunani seperti “spartan.” Namun, fungsionalitas dan teknik dasarnya tetap serupa.
Salah satu perubahan penting pada varian baru ini adalah penambahan pengumpul data untuk identitas Google Cloud Platform dan Microsoft Azure. Kemampuan baru ini memungkinkan malware untuk mencuri semua identitas yang dapat diakses oleh mesin yang terinfeksi, bukan hanya rahasia dari lingkungan cloud tertentu. Wiz memperingatkan bahwa hal ini menunjukkan “peningkatan fokus penyerang untuk mendapatkan dan memanfaatkan akses ke cloud itu sendiri.” Varian ini juga menciptakan repositori dengan deskripsi “Miasma: The Spreading Blight” dan menghasilkan muatan terenkripsi unik untuk setiap infeksi, membuat indikator kompromi berbasis hash hanya berguna untuk versi paket tertentu.
Baca Juga: Qualcomm Perkenalkan Merek Chip Dragonfly, Sasar Pusat Data dan AI
Insiden ini menjadi pengingat penting bagi seluruh ekosistem pengembangan perangkat lunak akan ancaman serangan rantai pasok yang terus berkembang. Pengembang dan organisasi perlu meningkatkan kewaspadaan terhadap keamanan paket yang mereka gunakan dan memastikan praktik keamanan yang ketat untuk melindungi kredensial dan sistem mereka dari potensi penyusupan.
Leave a Comment