Platform rekrutmen dan layanan teknologi global Toptal menjadi korban pembobolan akun GitHub, di mana pelaku memanfaatkan akses tersebut untuk menerbitkan paket NPM berbahaya. Insiden ini dikonfirmasi oleh Toptal dan kini tengah dalam investigasi, dengan sejumlah langkah mitigasi telah diterapkan untuk membatasi dampak.
Kronologi Singkat Serangan
Peretas berhasil mendapatkan akses ke repositori GitHub pribadi milik Toptal, lalu menerbitkan setidaknya dua paket NPM jahat yang menyamar sebagai turunan dari pustaka resmi milik perusahaan. Paket-paket tersebut adalah:
toptal-utils@toptal/math
Kedua paket ini diunggah ke registry NPM publik dan berisi kode obfuscated yang melakukan aksi mencurigakan ketika dipasang oleh developer.
Tujuan Utama: Mencuri Data Lingkungan Developer
Analisis awal menunjukkan bahwa kode berbahaya dalam paket tersebut mencoba mengekstrak variabel lingkungan (environment variables) dari mesin pengembang yang menginstalnya. Informasi ini dapat mencakup token API, kredensial database, dan data rahasia lain yang biasa digunakan dalam proses pengembangan perangkat lunak.
Payload-nya didesain untuk:
- Menjalankan skrip pasca-instalasi (postinstall) secara otomatis
- Mengirim data hasil curian ke server C2 (command and control) milik pelaku
- Bersembunyi dari deteksi dengan menggunakan teknik obfuscation JavaScript tingkat tinggi
Tindakan Toptal dan NPM
Begitu Toptal mengetahui insiden ini, mereka:
- Menghapus repositori yang dikompromi
- Berkoordinasi dengan tim NPM untuk menghapus paket berbahaya dari registry
- Melakukan audit akses dan token pada seluruh akun pengembang internal
- Menganalisis potensi dampak pada proyek dan pengguna eksternal
Paket jahat tersebut kini telah dihapus dari NPM, namun pengguna yang sempat menginstalnya sebelum penghapusan berpotensi sudah terekspos.
Rekomendasi untuk Developer dan Pengguna NPM
Pakar keamanan menyarankan langkah-langkah berikut bagi siapa pun yang sempat menggunakan atau mencurigai menginstal paket terkait:
- Periksa
package-lock.jsondannpm listuntuk mendeteksi dependensi mencurigakan - Segera rotasi semua kredensial yang disimpan di
.envatau ENV system - Audit aktivitas jaringan dan log build untuk mendeteksi anomali
- Hindari menggunakan dependensi dari sumber yang belum diverifikasi meskipun berasal dari nama brand terpercaya
Insiden ini menjadi pengingat serius tentang rantai pasokan perangkat lunak (software supply chain) dan pentingnya pengamanan akun pengembang, termasuk penggunaan 2FA, rotasi token akses, dan deteksi anomali pada CI/CD pipeline.
Sumber: Hackers breach Toptal GitHub account, publish malicious NPM packages