Salah satu paket Node.js paling populer di ekosistem open-source, is, ditemukan telah disusupi malware setelah dikuasai oleh aktor jahat. Dengan lebih dari 28 juta unduhan per minggu, insiden ini mengejutkan komunitas pengembang karena dampaknya sangat luas terhadap rantai pasok perangkat lunak global.
Apa Itu Paket is?
is merupakan pustaka utilitas ringan yang biasa digunakan untuk memverifikasi tipe data, seperti is.number(), is.string(), dan sebagainya. Karena ukurannya yang kecil dan fungsionalitas dasar, is banyak dijadikan dependensi oleh ribuan proyek lain, baik secara langsung maupun tidak langsung.
Bagaimana Malware Bisa Masuk?
Investigasi menunjukkan bahwa pemilik asli paket kemungkinan besar telah menyerahkan kepemilikan (ownership transfer) kepada akun lain, yang kemudian mengunggah versi baru berisi kode berbahaya. Versi yang terinfeksi segera menyebar ke ekosistem karena banyak pipeline build dan proyek otomatis mengunduh versi terbaru dari registry NPM.
Malware dalam versi terbaru is mengandung skrip obfuscated yang:
- Mengumpulkan data lingkungan build dan variabel sistem
- Menghubungi server eksternal dan mengunduh payload tambahan
- Berpotensi mencuri token autentikasi, kredensial API, atau SSH key
Dampak Terhadap Proyek Global
Ribuan proyek yang menggunakan is sebagai dependensi — termasuk pustaka besar lain seperti express, react, atau lodash — secara tidak langsung terpapar risiko keamanan. Tim keamanan di beberapa perusahaan besar telah mengeluarkan peringatan internal dan membekukan semua pipeline CI/CD hingga dependensi dibersihkan.
GitHub, NPM, dan sejumlah vendor keamanan langsung mengeluarkan peringatan serta mendeteksi versi terinfeksi sebagai berbahaya.
Tindakan yang Harus Dilakukan Developer
Open-source maintainers dan tim pengembang disarankan untuk:
- Memeriksa versi
isyang digunakan dalampackage-lock.jsonatauyarn.lock - Rollback ke versi sebelumnya yang bersih, atau ganti dengan pustaka alternatif
- Audit environment build untuk jejak aktivitas mencurigakan
- Gunakan registri lokal atau internal untuk menghindari pembaruan tak terkontrol dari registry publik
- Pertimbangkan untuk “pin” semua dependensi kritis demi menghindari kejadian serupa
Insiden ini memperlihatkan kembali lemahnya kontrol atas supply chain dependency dalam ekosistem JavaScript, serta pentingnya audit berlapis sebelum mengandalkan dependensi pihak ketiga.
Sumber: NPM package ‘is’ with 28M weekly downloads infected devs with malware