Malware Curi Token GitHub dan ChatGPT Serang Arch Linux

Komunitas pengguna Arch Linux dikejutkan oleh salah satu insiden keamanan rantai pasok perangkat lunak (software supply chain attack) terbesar yang pernah menimpa ekosistem distribusi Linux tersebut. Lebih dari 400 paket di Arch User Repository (AUR) dilaporkan telah dibajak oleh pelaku kejahatan siber dan dimodifikasi untuk menyebarkan malware pencuri data serta rootkit berbasis eBPF yang sulit dideteksi.

Insiden ini menjadi pengingat bahwa ancaman siber modern tidak selalu memanfaatkan celah keamanan atau kerentanan perangkat lunak. Dalam banyak kasus, penyerang justru mengeksploitasi kepercayaan yang telah dibangun dalam sebuah ekosistem perangkat lunak.

Menurut laporan perusahaan keamanan siber Sonatype, kampanye serangan yang diberi nama Atomic Arch ini menargetkan paket-paket AUR yang sudah lama tidak dikelola atau dikenal sebagai orphaned packages. Paket-paket tersebut kemudian diambil alih oleh pelaku dan dimodifikasi secara diam-diam tanpa mengubah nama maupun fungsi utama aplikasi yang diinstal pengguna.

Akibatnya, banyak pengguna tidak menyadari bahwa perangkat lunak yang mereka unduh dan bangun di sistem ternyata telah disisipi kode berbahaya.

Menyerang Fondasi Kepercayaan Komunitas Open Source

Berbeda dengan serangan siber pada umumnya yang memanfaatkan bug atau eksploitasi zero-day, serangan kali ini menyasar model kepercayaan yang menjadi fondasi komunitas open source.

AUR merupakan repositori paket yang dikelola oleh komunitas pengguna Arch Linux. Berbeda dengan repositori resmi Arch Linux yang diawasi secara ketat, AUR memungkinkan siapa saja untuk membuat, memelihara, atau mengadopsi paket yang sudah tidak lagi dikelola oleh pengembang sebelumnya.

Celah inilah yang dimanfaatkan oleh para pelaku.

Mereka mengadopsi sejumlah paket yang ditinggalkan pemeliharanya, kemudian mengubah skrip instalasi tanpa mengubah nama paket maupun riwayat pengembangannya. Dengan cara tersebut, paket tetap terlihat sah dan terpercaya di mata pengguna.

Lebih jauh lagi, para pelaku bahkan memalsukan metadata commit Git sehingga perubahan yang dilakukan tampak berasal dari pengelola lama. Seorang Trusted User Arch Linux kemudian mengonfirmasi bahwa akun pemelihara asli sebenarnya tidak pernah diretas.

Pendekatan ini membuat serangan menjadi sangat berbahaya karena hampir tidak meninggalkan tanda-tanda mencurigakan yang dapat dikenali oleh pengguna biasa.

Malware Disisipkan Melalui Proses Build Paket

Setelah mengambil alih sebuah paket, pelaku memodifikasi file PKGBUILD atau skrip .install yang digunakan selama proses pembangunan paket. Modifikasi tersebut secara diam-diam menjalankan perintah untuk mengunduh paket npm bernama atomic-lockfile versi 1.4.2.

Sekilas paket tersebut terlihat normal karena diunduh bersamaan dengan sejumlah dependensi sah lainnya. Namun di balik itu terdapat mekanisme tersembunyi berupa preinstall hook yang akan menjalankan sebuah file ELF Linux bernama deps.

Begitu pengguna membangun paket yang telah dimodifikasi, file tersebut otomatis dieksekusi dan mulai menjalankan aktivitas berbahaya di sistem. Beberapa paket yang telah dikonfirmasi terinfeksi antara lain alvr dan premake-git, meskipun jumlah paket yang terdampak diperkirakan jauh lebih besar.

Menargetkan Pengembang dan Infrastruktur Build

Peneliti keamanan independen yang menggunakan nama Whanos melakukan analisis mendalam terhadap malware tersebut dan menemukan bahwa target utamanya adalah para pengembang perangkat lunak serta sistem build yang digunakan dalam proses pengembangan aplikasi.

Hal ini membuat dampak serangan menjadi lebih serius dibandingkan infeksi malware pada komputer biasa. Malware dirancang untuk mencuri berbagai kredensial penting yang sering digunakan dalam lingkungan pengembangan perangkat lunak modern.

Dari sisi browser, malware dapat mengumpulkan cookie, token autentikasi, serta data Local Storage dari berbagai browser berbasis Chromium seperti Google Chrome, Microsoft Edge, Brave, dan browser sejenis lainnya.

Selain itu, malware juga memburu data sesi dari aplikasi berbasis Electron yang banyak digunakan perusahaan dan tim pengembang, termasuk Slack, Discord, dan Microsoft Teams.

Tidak berhenti di situ, malware juga membidik berbagai token yang memiliki nilai tinggi bagi pelaku kejahatan siber, seperti token GitHub, npm, HashiCorp Vault, hingga kredensial OpenAI dan ChatGPT.

Jika berhasil diperoleh, token-token tersebut dapat digunakan untuk mengambil alih akun, mencuri kode sumber, menyusup ke lingkungan pengembangan, bahkan menyebarkan malware lebih luas lagi melalui proyek perangkat lunak yang sah.

Mencuri Kunci SSH dan Kredensial Cloud

Salah satu aspek yang paling mengkhawatirkan dari malware ini adalah kemampuannya mengakses berbagai kredensial tingkat sistem. Malware diketahui mencari dan mencuri kunci SSH, file known_hosts, riwayat shell, kredensial Docker, kredensial Podman, serta profil VPN yang tersimpan di perangkat korban.

Bagi perusahaan teknologi, informasi tersebut sangat berharga karena dapat membuka akses ke server produksi, sistem cloud, hingga repositori kode sumber yang berisi aset digital penting.

Data yang berhasil dikumpulkan kemudian dikirimkan ke server penyerang melalui layanan berbagi file sementara. Sementara itu, komunikasi antara malware dan server pengendali (command and control/C2) dilakukan melalui jaringan Tor menggunakan layanan Onion untuk menyamarkan identitas pelaku.

Memiliki Kemampuan Bertahan Setelah Reboot

Agar tetap aktif dalam jangka panjang, malware memasang mekanisme persistensi menggunakan layanan systemd. Ketika dijalankan dengan hak akses root, malware akan menyalin dirinya ke direktori sistem dan membuat layanan yang berjalan otomatis setiap kali komputer dinyalakan.

Jika dijalankan oleh pengguna biasa, malware tetap dapat bertahan dengan menyimpan dirinya di direktori home pengguna dan membuat layanan systemd khusus pengguna.

Konfigurasi yang digunakan bahkan memanfaatkan parameter Restart=always , sehingga malware akan terus aktif meskipun prosesnya dihentikan secara manual. Kemampuan ini membuat proses pembersihan menjadi jauh lebih sulit dibandingkan malware Linux biasa.

Rootkit eBPF Menambah Tingkat Bahaya

Pada awal kemunculannya, banyak laporan menyebut malware ini memiliki rootkit eBPF yang sangat canggih. Meski demikian, analisis lanjutan menunjukkan bahwa komponen rootkit tersebut bersifat opsional dan hanya aktif apabila malware memperoleh hak akses root.

Rootkit tidak digunakan untuk mendapatkan hak akses administrator, tetapi untuk menyembunyikan aktivitas malware dari alat pemantauan sistem.

Ketika aktif, rootkit mampu menyembunyikan proses malware, nama proses, hingga koneksi jaringan yang digunakan untuk berkomunikasi dengan server penyerang. Bahkan, rootkit dapat menghalangi upaya analisis dengan mencegah debugger menempel pada proses yang sedang berjalan.

Kemampuan inilah yang membuat para peneliti menyarankan pengguna untuk tidak hanya menghapus paket yang terinfeksi, tetapi juga mempertimbangkan instalasi ulang sistem jika malware sempat berjalan dengan hak akses root.

Diduga Membawa Penambang Kripto

Peneliti juga menemukan indikasi bahwa malware mengunduh file tambahan yang berkaitan dengan aplikasi monero-wallet-gui. File tersebut dicurigai sebagai komponen penambang mata uang kripto atau cryptominer, meskipun hingga kini analisis teknis terhadap fungsi sebenarnya masih berlangsung.

Jika dugaan tersebut terbukti benar, maka pelaku tidak hanya berupaya mencuri data dan kredensial, tetapi juga memanfaatkan sumber daya komputer korban untuk menghasilkan keuntungan finansial melalui penambangan kripto.

Gelombang Serangan Kedua Mulai Terdeteksi

Yang lebih mengkhawatirkan, kampanye Atomic Arch tampaknya tidak berhenti pada satu metode penyebaran saja. Setelah peneliti mengidentifikasi penggunaan paket npm berbahaya atomic-lockfile, komunitas menemukan gelombang serangan kedua yang menggunakan paket berbeda bernama js-digest.

Paket tersebut dipasang menggunakan perintah bun install js-digest dan diketahui berasal dari akun berbeda. Namun sejumlah peneliti menemukan hubungan antara akun tersebut dengan penerbit yang sama yang digunakan dalam kampanye pertama.

Payload yang digunakan pada gelombang kedua juga berbeda, menunjukkan bahwa pelaku terus mengembangkan teknik mereka untuk menghindari deteksi. Jumlah paket yang terdampak hingga kini masih terus dihitung, sehingga angka lebih dari 400 paket kemungkinan masih dapat bertambah.

Langkah Mitigasi yang Harus Dilakukan Pengguna

Tim pengelola Arch Linux saat ini telah mulai menghapus commit berbahaya, memblokir akun yang terlibat, serta berkoordinasi dengan komunitas untuk mengidentifikasi seluruh paket yang terdampak.

Namun pengguna tetap harus mengambil langkah proaktif. Pengguna yang menginstal atau memperbarui paket AUR sejak 11 Juni disarankan memeriksa log build dan cache sistem untuk mencari jejak aktivitas mencurigakan seperti penggunaan atomic-lockfile, js-digest, maupun file payload bernama deps.

Jika paket yang terinfeksi pernah dijalankan, seluruh kredensial yang tersimpan di perangkat harus dianggap telah bocor.

Artinya, pengguna perlu segera mengganti kata sandi, melakukan rotasi token GitHub, npm, OpenAI, Vault, kredensial cloud, hingga memperbarui kunci SSH yang digunakan untuk mengakses server. Selain itu, administrator sistem juga perlu memeriksa layanan systemd yang tidak dikenal, file mencurigakan di direktori sistem, serta artefak rootkit eBPF yang mungkin masih aktif.

Ancaman Baru dalam Dunia Open Source

Insiden Atomic Arch menjadi contoh nyata bagaimana serangan rantai pasok perangkat lunak terus berkembang. Jika sebelumnya pelaku sering membuat paket palsu dengan nama yang menyerupai proyek populer, kini mereka memilih mengambil alih proyek yang sudah dipercaya komunitas selama bertahun-tahun.

Strategi tersebut jauh lebih efektif karena memanfaatkan reputasi yang telah dibangun oleh pengembang asli.

Bagi komunitas open source, peristiwa ini menjadi pengingat bahwa keamanan tidak hanya bergantung pada kualitas kode, tetapi juga pada proses pengelolaan proyek dan kepercayaan terhadap para pemeliharanya.

Ke depan, pengguna Arch Linux dan komunitas open source secara umum perlu lebih berhati-hati terhadap paket yang baru berganti pengelola atau tiba-tiba aktif kembali setelah lama tidak diperbarui. Dalam era serangan rantai pasok yang semakin canggih, reputasi sebuah paket tidak lagi cukup untuk menjamin keamanannya.