Ekosistem open-source kembali diguncang oleh serangan siber canggih. Kali ini, repositori GitHub milik Microsoft telah menjadi korban terbaru dari kampanye serangan rantai pasokan replikasi mandiri yang dikenal sebagai Miasma.
Baca Juga: Rogbid Luncurkan SR15 Ultra: Cincin Pintar dengan Layar Internal dan Motor Getar
Insiden serius ini berdampak pada 73 repositori Microsoft yang tersebar di empat organisasi GitHub miliknya, memicu respons cepat dari GitHub untuk menonaktifkan akses ke repositori tersebut.
Dilansir dari The Hacker News, serangan ini menyoroti kerentanan yang terus-menerus dalam rantai pasokan perangkat lunak. Akibat pelanggaran persyaratan layanan GitHub, akses ke repositori yang terpengaruh telah dinonaktifkan. “Akses ke repositori ini telah dinonaktifkan oleh Staf GitHub karena pelanggaran persyaratan layanan GitHub. Jika Anda adalah pemilik repositori, Anda dapat menghubungi Dukungan GitHub untuk informasi lebih lanjut,” demikian pernyataan dari Staf GitHub.
Baca Juga: Pinterest Kucurkan US$4 Miliar di AWS, Pakai Chip Trainium untuk AI
Kampanye Miasma terbaru ini merupakan kompromi ulang dari paket PyPI “durabletask”, yang sebelumnya telah terinfeksi oleh TeamPCP pada bulan lalu untuk menyebarkan pencuri informasi pada sistem Linux. Miasma sendiri diidentifikasi sebagai varian dari worm Mini Shai-Hulud, yang pertama kali dirilis secara publik oleh TeamPCP pada pertengahan Mei 2026. Hal ini menunjukkan adanya evolusi berkelanjutan dalam taktik serangan siber.
Worm Miasma menunjukkan kemampuan adaptasi yang luar biasa, terus bermutasi dan menyempurnakan taktiknya. Dalam beberapa hari terakhir, worm ini telah berhasil menginfeksi lebih banyak paket, memperluas jangkauannya secara signifikan. Paul McCarty, yang juga dikenal sebagai 6mile, menyoroti kemungkinan adanya luka lama yang terbuka kembali. “Ketika repositori pada akar kompromi bulan lalu menjadi pusat penonaktifan bulan ini, itu bukan kebetulan – itu adalah luka yang sama yang terbuka kembali. Siapa pun yang memegang kredensial tersebut pada bulan Mei kemungkinan tidak pernah kehilangan sepenuhnya,” ujar McCarty.
McCarty juga menambahkan bahwa sebulan setelah insiden awal, tidak hanya Azure/durabletask yang hilang, tetapi juga setiap repositori saudaranya di ekosistem Durable Task yang berada di organisasi Microsoft. Ini termasuk implementasi.
NET, Go, Java, JS, MSSQL, Netherite, dan protobuf, ditambah monitor Durable Functions, menunjukkan skala dampak yang luas.
Miasma menggunakan berbagai deskripsi untuk repositori publik yang baru dibuat yang berisi rahasia yang dicuri. Deskripsi ini meliputi “Miasma: The Spreading Blight”, “Miasma : The Spreading Blight”, “Miasma – The Spreading Blight”, dan “Hades – The End for the Damned”. Per hari ini, terdapat 13 repositori yang menggunakan deskripsi “Hades – The End for the Damned”, sementara 82 repositori lainnya menggunakan tiga pola penamaan Miasma yang lain, menunjukkan pola penyebaran yang terencana.
Selain menargetkan PyPI, Miasma juga telah diamati melewati registri npm sepenuhnya. Pelaku ancaman secara langsung mendorong kode berbahaya ke “icflorescu/mantine-datatable” dan empat repositori terkait lainnya, yaitu “mantine-contextmenu”, “next-server-actions-parallel”, “mantine-datatable-v6”, dan “mantine-contextmenu-v6”. Pendekatan ini memungkinkan worm untuk menyebar tanpa terdeteksi oleh mekanisme keamanan registri.
SafeDep menjelaskan bahwa commit berbahaya tersebut tidak menambahkan dependensi baru, melainkan menanamkan payload runner sebesar 4,3 MB. Payload ini diatur untuk dieksekusi secara otomatis melalui lima alat pengembang populer: Claude Code, Gemini CLI, Cursor, VS Code, dan skrip uji npm. “Commit tersebut tidak menambahkan dependensi. Ini menanamkan payload runner sebesar 4,3 MB dan mengaturnya untuk dieksekusi secara otomatis melalui lima alat pengembang: Claude Code, Gemini CLI, Cursor, VS Code, dan skrip uji npm,” kata SafeDep.
Serangan ini meledak ketika seorang pengembang mengkloning salah satu repositori yang terpengaruh dan membukanya di agen pengkodean AI. Dropper yang digunakan adalah loader Bun yang sama yang digunakan secara bertahap, namun di sini digunakan kembali untuk persistensi repositori sumber GitHub daripada peracunan registri. “Serangan ini meledak ketika seorang pengembang mengkloning salah satu repositori yang terpengaruh dan membukanya di agen pengkodean AI. Dropper tersebut adalah loader Bun yang sama yang digunakan secara bertahap, di sini digunakan kembali untuk persistensi repositori sumber GitHub daripada peracunan registri,” tambah SafeDep.
FalconFeeds.io menyoroti kecerdikan worm ini, menjelaskan mengapa pertahanan konvensional sebagian besar gagal. “Kegeniusan worm ini dan alasan mengapa pertahanan konvensional sebagian besar gagal adalah karena ia beroperasi sepenuhnya dalam saluran yang sah. Ia tidak mengeksploitasi kerentanan di npm atau GitHub,” jelas FalconFeeds.io. Sebaliknya, worm ini mengeksploitasi model kepercayaan yang menjadi dasar platform tersebut, yaitu asumsi bahwa jika sebuah paket ditandatangani dengan kunci yang valid dan diterbitkan oleh pemelihara yang terautentikasi, maka paket itu aman.
Lebih lanjut, FalconFeeds.io menjelaskan bahwa Shai-Hulud mengkompromikan kunci dan pemelihara, kemudian bertindak persis seperti penerbit yang sah. Dari perspektif registri, setiap peristiwa penerbitan berbahaya tidak dapat dibedakan dari pembaruan rutin.
Ini menunjukkan betapa sulitnya mendeteksi serangan semacam ini dengan metode tradisional.
Serangan rantai pasokan perangkat lunak ini telah mengungkap kelemahan mendasar dalam model kepercayaan yang membentuk dasar pengiriman perangkat lunak dalam ekosistem open-source. Aktivitas Miasma dibedakan dari insiden lain oleh kemampuannya untuk menyebar secara eksponensial di seluruh ekosistem dengan mengkompromikan pengguna hilir dan mengulang siklus yang sama, menciptakan ancaman yang terus berkembang dan sulit diatasi.
Baca Juga: Hacker Bocorkan Data 2,6 Juta Pelanggan DentaQuest di Forum Gelap
Insiden ini menjadi pengingat penting bagi seluruh komunitas pengembang dan perusahaan teknologi akan perlunya peningkatan kewaspadaan dan penguatan praktik keamanan. Dengan worm yang terus bermutasi dan menyempurnakan taktiknya, kolaborasi dan inovasi dalam pertahanan siber menjadi semakin krusial untuk melindungi integritas ekosistem open-source.
Leave a Comment