Ancaman keamanan siber kembali menghantui ekosistem pengembangan perangkat lunak. Kali ini, seorang penyerang tunggal berhasil merilis 14 paket npm berbahaya dalam waktu empat jam, yang semuanya meniru library populer seperti OpenSearch, Elasticsearch, DevOps, dan konfigurasi lingkungan.
Baca Juga: Kimsuky Gunakan HTTPSpy dan Taktik Baru, Targetkan Militer Korea Selatan
Dilansir dari theregister.com, insiden ini merupakan bagian dari serangkaian serangan rantai pasokan yang terus-menerus menargetkan alat pengembang. Tujuan utamanya adalah mencuri kredensial cloud dan rahasia pipeline CI/CD (Continuous Integration/Continuous Delivery). Microsoft, melalui blog resminya, mengidentifikasi aktor ancaman ini menggunakan alias maintainer baru bernama vpmdhaj (a39155771@gmail[.]com).
Ke-14 paket berbahaya tersebut menyamar sebagai library sah dari ekosistem @opensearch dan @elastic. Penyerang menargetkan layanan penting seperti Amazon Web Services (AWS), HashiCorp Vault, GitHub Actions, dan registri npm itu sendiri. Microsoft memperingatkan bahwa pemilihan target ini “kemungkinan besar karena penyerang memilih audiens pengembang yang memiliki kredensial cloud AWS dan Elastic di lingkungan mereka.”
Baca Juga: MediaTek Dimensity 8550: Chipset Baru dengan Penguat AI dan Gemini Nano V3
Semua paket berbahaya ini memiliki stager instalasi yang sama dan payload tahap kedua yang dikompilasi dengan Bun, yaitu pencuri kredensial berukuran 195 KB yang dirancang khusus untuk lingkungan cloud dan CI/CD. Setelah berhasil mencuri token dan rahasia lainnya, penyerang berpotensi bergerak secara lateral di seluruh lingkungan cloud, mencuri data sensitif tambahan, dan bahkan menyebarkan pembaruan yang lebih berbahaya ke paket yang dimiliki oleh identitas maintainer yang dibajak.
Hal ini dapat memperluas serangan jauh melampaui 14 paket awal.
Untuk mengelabui pengguna agar menginstal alat pengembang dan mesin pencari palsu ini, penyerang menggunakan beberapa teknik rekayasa sosial:
Selain itu, penyerang juga menggunakan dua teknik lain untuk membuat serangan rantai pasokan ini lebih meyakinkan:
Setelah pengguna berhasil diakali untuk menginstal paket npm ini, payload pencuri kredensial akan secara otomatis dieksekusi melalui hook preinstall segera setelah korban menjalankan perintah npm install. Penyerang menggunakan salah satu dari dua stager:
Semua library berbahaya ini telah dihapus oleh Microsoft. Perusahaan juga telah mempublikasikan daftar lengkap ke-14 paket tersebut di blog mereka.
Pengguna disarankan untuk memeriksa sistem yang mungkin telah menginstal atau membangun versi paket yang terpengaruh pada atau setelah 28 Mei. Selain itu, sangat penting untuk segera merotasi token AWS IAM/STS, HashiCorp Vault, npm publish, dan GitHub Actions yang mungkin telah terekspos.
Baca Juga: Ultrahuman Photon: Perangkat Terapi Cahaya Merah Portabel Kini Tersedia Pre-order
Insiden ini menjadi pengingat penting akan perlunya kewaspadaan dalam ekosistem pengembangan perangkat lunak, terutama dalam menghadapi serangan rantai pasokan yang semakin canggih.
Leave a Comment