Security

Malware Korea Utara XOR-INDEX Ditemukan di 67 Paket Berbahaya di NPM

July 16, 2025
1 minute read
Malware Korea Utara XOR-INDEX Ditemukan di 67 Paket Berbahaya di NPM
Malware Korea Utara XOR-INDEX Ditemukan di 67 Paket Berbahaya di NPM

Peneliti keamanan menemukan kampanye serangan siber yang melibatkan 67 paket berbahaya di registry NPM, yang menyebarkan malware bernama XOR-INDEX. Kampanye ini dikaitkan dengan aktor ancaman yang berafiliasi dengan Korea Utara dan menargetkan pengembang software.

Ringkasan

Tim keamanan dari ReversingLabs mengungkap kampanye distribusi malware XOR-INDEX melalui paket NPM berbahaya, yang telah diunggah ke platform open-source populer itu sebanyak 67 kali. Serangan ini ditujukan untuk menyusup ke dalam rantai pasok software dengan menyamarkan kode berbahaya sebagai pustaka JavaScript normal.

Detail Ancaman XOR-INDEX

  • XOR-INDEX adalah malware yang memanfaatkan obfuscation tingkat lanjut, menyembunyikan payload-nya dalam kode base64 dan XOR-encrypted.
  • Payload disuntikkan melalui script post-install, memungkinkan eksekusi otomatis setelah paket dipasang.
  • Setelah aktif, malware ini dapat:
    • Mengumpulkan informasi sistem
    • Menjalankan perintah jarak jauh
    • Menanamkan backdoor untuk akses lanjutan

Modus Operasi

  • Pelaku membuat paket dengan nama menyerupai pustaka populer (misalnya typo atau slight variation) untuk menjebak developer.
  • Sebagian besar paket tidak memiliki dokumentasi atau memiliki deskripsi minimal—ciri khas supply-chain attack.
  • Payload utama baru diunduh dari server eksternal setelah instalasi, menyulitkan deteksi oleh sistem otomatis.

Afiliasi dengan Korea Utara

  • Gaya serangan, teknik pengaburan, dan infrastruktur distribusi mengarah pada kelompok ancaman yang diyakini berhubungan dengan Korea Utara, mirip dengan taktik sebelumnya seperti yang digunakan oleh Lazarus Group.

Tindakan yang Disarankan

  • Hapus semua paket mencurigakan yang telah diidentifikasi oleh ReversingLabs
  • Gunakan tools seperti npm audit dan software composition analysis (SCA)
  • Hindari menginstal pustaka yang tidak dikenal tanpa review kode terlebih dahulu
  • Selalu periksa aktivitas mencurigakan setelah menjalankan npm install

Dampak

  • Menunjukkan betapa rentannya ekosistem open-source terhadap supply chain attack
  • Menargetkan developer dan perusahaan software sebagai pintu masuk ke sistem internal mereka

Sumber:

BleepingComputer

Tags
July 16, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button