Shy Hulud yang menyapu ekosistem JavaScript... menyebar secara mandiri melalui npm

Kode jahat “Shai Hulud (” yang menargetkan ekosistem pengembangan JavaScript terus berevolusi, dan tingkat serangan rantai pasokan perangkat lunak telah terbukti semakin meningkat. Analisis terbaru menunjukkan bahwa kode jahat ini telah melampaui tingkat infiltrasi sederhana ke dalam paket perangkat lunak sebelumnya, mampu menjadikan pengembang sebagai pembawa infeksi yang tidak sadar dan terus menyebar, serta memiliki sistem penyebaran otomatis.

Menurut laporan yang dirilis oleh perusahaan keamanan Expel, varian terbaru dari sandworm memiliki struktur yang dapat secara otomatis menginfeksi lingkungan pengembang dan melakukan penyebaran kembali melalui registri npm yang mereka kelola. Kode jahat ini akan mengeksekusi paket npm yang terinfeksi virus pada tahap instalasi, dengan dua langkah untuk menginfeksi program. Pertama, jika lingkungan target tidak memiliki runtime JavaScript “Bun” yang terpasang, maka akan diinstal secara otomatis; selanjutnya, melalui muatan yang sangat membingungkan, di belakang layar akan mengundang pencurian kredensial, kebocoran data, dan infeksi ulang.

Varian ini sangat menarik perhatian karena metode pengumpulan kredensialnya yang sangat canggih. Ia menggunakan akses langsung ke sistem manajemen rahasia dari infrastruktur cloud utama seperti AWS Secrets Manager, Microsoft Azure Key Vault, dan Google Cloud Secret Manager untuk mengekstrak data sensitif tambahan. Dikonfirmasi bahwa ia juga secara menyeluruh mengumpulkan token rilis NPM, informasi otentikasi GitHub, bahkan kunci cloud dari sistem lokal itu sendiri. Alat yang digunakan dalam proses ini adalah TruffleHog, yang merupakan alat yang dapat secara otomatis mencari informasi rahasia yang dikodekan dari kode sumber, file konfigurasi, catatan Git, dan lainnya.

Taktik paling khas dari sandworm adalah penyalahgunaan infrastruktur GitHub. Berbeda dengan cara sebelumnya yang menghubungkan kode jahat ke server perintah kontrol )C2(, kode jahat ini akan mengunggah informasi yang dicuri ke repositori publik dan mendaftarkan perangkat yang terinfeksi sebagai runner mandiri GitHub Actions. Ini memungkinkan akses jarak jauh yang berkelanjutan, di mana penyerang menggunakan akun pengembang yang terinfeksi sebagai senjata untuk menyuntikkan kode jahat ke paket lain dan memperluas infeksi dengan secara otomatis mendaftarkan versi yang telah diubah kembali ke npm.

Laporan menyebutkan bahwa hingga saat ini, diperkirakan lebih dari 25.000 repositori terinfeksi, dengan ratusan paket perangkat lunak yang terpengaruh. Di antaranya terdapat alat populer yang juga banyak digunakan oleh komunitas sumber terbuka.

Expel melalui kasus ini memperingatkan bahwa “lapisan kepercayaan” dalam keamanan rantai pasokan perangkat lunak tidak lagi menjadi zona aman. Meskipun sandworm menyerang ekosistem JavaScript, komunitas bahasa lain yang memiliki basis kepercayaan serupa seperti Python)PyPI(, Ruby)RubyGems(, dan PHP)Composer( juga sangat mungkin terpapar pada serangan serupa. Munculnya malware otonom yang menyebar dalam ekosistem alat pengembang dapat memicu ancaman yang lebih berkelanjutan dan lebih luas di masa depan, hal ini perlu diwaspadai.