Berita Terbaru

Waspada! Paket npm Ini Bisa Curi Data dan Lumpuhkan Server

Ilustrasi Cyber Security

Ilustrasi Cyber Security

Dunia keamanan siber kembali diguncang dengan temuan terbaru terkait serangan supply chain melalui ekosistem npm. Peneliti keamanan menemukan empat paket npm berbahaya yang diam-diam menyebarkan malware pencuri data hingga botnet DDoS ke perangkat pengembang yang mengunduhnya.

Yang membuat kasus ini semakin mengkhawatirkan, salah satu paket tersebut ternyata merupakan tiruan dari worm Shai-Hulud, malware yang sebelumnya sempat dirilis secara open-source oleh kelompok TeamPCP. Kondisi ini menunjukkan bahwa kode malware yang bocor ke publik kini mulai dimanfaatkan pelaku kejahatan siber untuk melancarkan serangan baru secara lebih cepat dan masif.

Penemuan ini diungkap oleh peneliti dari OX Security, Moshe Siman Tov Bustan. Ia menjelaskan bahwa keempat paket berbahaya tersebut dipublikasikan melalui akun npm bernama “deadcode09284814”.

Berikut daftar paket npm yang teridentifikasi mengandung malware:

  • chalk-tempalte
  • @deadcode09284814/axios-util
  • axois-utils
  • color-style-utils

Meskipun jumlah unduhannya belum terlalu besar, ancaman dari paket-paket ini dinilai sangat serius karena menyasar para developer dan lingkungan pengembangan aplikasi.

 

Paket “chalk-tempalte” Jadi Kloning Worm Shai-Hulud

Salah satu paket yang paling disorot adalah “chalk-tempalte”. Paket ini diketahui berisi salinan langsung dari source code worm Shai-Hulud yang sebelumnya dibocorkan ke publik oleh TeamPCP.

Menurut OX Security, pelaku hampir tidak melakukan perubahan berarti pada kode tersebut. Mereka hanya menambahkan server command-and-control (C2) milik sendiri serta private key baru sebelum mengunggahnya kembali ke npm sebagai paket yang tampak normal.

Peneliti menduga aksi ini berkaitan dengan meningkatnya tren kompetisi serangan supply chain yang belakangan ramai dibahas di forum underground seperti BreachForums.

Serangan supply chain sendiri merupakan metode serangan siber yang menargetkan rantai distribusi perangkat lunak. Dalam kasus npm, pelaku menyisipkan malware ke dalam library atau paket yang terlihat sah agar dapat diunduh tanpa disadari oleh developer.

Cara ini sangat berbahaya karena malware bisa ikut masuk ke dalam proyek aplikasi, server perusahaan, hingga sistem produksi tanpa terdeteksi.

 

Malware Kirim Data Curian ke Server Jarak Jauh

Setelah aktif di perangkat korban, malware dalam paket tersebut akan mencuri berbagai data sensitif lalu mengirimkannya ke server C2 yang dikendalikan pelaku.

Data yang dicuri meliputi:

  • Kredensial akun
  • Token GitHub
  • SSH key
  • Variabel lingkungan
  • Informasi sistem
  • Data cloud
  • Alamat IP
  • Data dompet kripto

Khusus pada paket “chalk-tempalte”, malware bahkan memiliki kemampuan tambahan untuk memanfaatkan token GitHub curian guna membuat repositori publik baru melalui API GitHub.

Repositori tersebut diberi nama dengan deskripsi:
“A Mini Sha1-Hulud has Appeared.”

Hal ini memperlihatkan bagaimana malware modern kini tidak hanya mencuri data, tetapi juga mampu melakukan otomatisasi penyebaran dan manipulasi akun korban.

OX Security menyebut data curian dari paket tersebut dikirim ke domain:

  • 87e0bbc636999b.lhr[.]life

Sementara dua paket lain, yakni “@deadcode09284814/axios-util” dan “color-style-utils”, diketahui mengirim data korban ke:

  • 80.200.28[.]28:2222
  • edcf8b03c84634.lhr[.]life
  • “axois-utils” Sebarkan Phantom Bot DDoS

Berbeda dengan paket lainnya, “axois-utils” tidak hanya berfungsi sebagai pencuri data. Paket ini juga dirancang untuk menyebarkan malware botnet DDoS berbasis Golang bernama Phantom Bot.

Botnet ini memiliki kemampuan melancarkan serangan distributed denial-of-service (DDoS) menggunakan berbagai protokol jaringan seperti:

  • HTTP
  • TCP
  • UDP

Dengan metode tersebut, perangkat korban dapat digunakan sebagai bagian dari jaringan botnet untuk membanjiri server target hingga lumpuh.

Yang lebih berbahaya, malware ini mampu mempertahankan keberadaannya di sistem Windows maupun Linux melalui teknik persistence. Caranya antara lain:

  • Menambahkan payload ke folder Startup Windows
  • Membuat scheduled task agar malware berjalan otomatis saat sistem dinyalakan

Teknik persistence seperti ini membuat malware tetap aktif meski perangkat telah direstart, sehingga korban sering kali tidak menyadari bahwa sistemnya sudah terinfeksi.

 

Ancaman Typosquatting Semakin Marak

Kasus ini juga menjadi contoh nyata meningkatnya praktik typosquatting di ekosistem open-sourceTyposquatting adalah teknik membuat nama paket yang mirip dengan library populer agar pengguna salah mengetik dan tanpa sadar menginstal paket palsu. Nama seperti “axois-utils” misalnya, diduga sengaja dibuat menyerupai kata “axios”, library HTTP populer di JavaScript.

Metode ini terbukti efektif karena banyak developer sering menginstal paket secara cepat tanpa memeriksa detail penerbit maupun reputasi library.

OX Security memperingatkan bahwa ketersediaan kode Shai-Hulud secara open-source membuat pelaku ancaman semakin termotivasi melakukan serangan supply chain. Kini, bahkan pelaku dengan kemampuan teknis terbatas bisa memanfaatkan kode malware yang sudah tersedia untuk membuat varian baru.

Peneliti menilai aktivitas ini kemungkinan baru awal dari gelombang serangan yang lebih besar ke depannya.

 

Pengguna npm Diminta Segera Bertindak

OX Security meminta seluruh pengguna yang pernah mengunduh paket-paket tersebut untuk segera melakukan tindakan pengamanan.

Langkah yang direkomendasikan meliputi:

  • Menghapus seluruh paket berbahaya dari proyek dan sistem
  • Memeriksa konfigurasi mencurigakan pada IDE atau coding agent seperti Claude Code
  • Mengganti seluruh password, token, dan kredensial yang mungkin bocor
  • Mengecek repositori GitHub yang mengandung teks “A Mini Sha1-Hulud has Appeared”
  • Memblokir akses jaringan ke domain berbahaya terkait malware

Selain itu, developer juga disarankan lebih berhati-hati sebelum menginstal library pihak ketiga, terutama paket dengan nama mencurigakan atau penerbit yang tidak dikenal.

Kasus ini menjadi pengingat bahwa ancaman terhadap ekosistem open-source terus berkembang. Di tengah semakin tingginya ketergantungan developer terhadap library eksternal, keamanan supply chain perangkat lunak kini menjadi salah satu tantangan terbesar di dunia siber modern.

Bagikan artikel ini
Komentar ()

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait