Security

Paket NPM Terdeteksi Gunakan QR Code untuk Menyebarkan Malware Pencuri Cookie

September 23, 2025
1 minute read

Peneliti keamanan menemukan sebuah paket berbahaya di npm, bernama “fezbox”, yang memanfaatkan teknik tak biasa: menggunakan QR code untuk menyelundupkan dan mengeksekusi malware pencuri data. Paket ini sempat menyamar sebagai utility library di npmjs.com, registry open-source terbesar untuk JavaScript dan Node.js, sebelum akhirnya diturunkan oleh admin.

Teknik Serangan Menggunakan QR Code

Biasanya, QR code digunakan untuk kebutuhan manusia, seperti berbagi tautan atau konten pemasaran. Namun, pada kasus ini, pelaku ancaman menyembunyikan instruksi berbahaya di dalam gambar JPG berisi QR code.

  • File utama berbahaya ditemukan di dist/fezbox.cjs (v1.3.0).
  • Setelah 120 detik, kode akan mengambil dan mengeksekusi payload tahap kedua dari QR code yang ditanamkan.
  • URL sumber disimpan dalam string terbalik untuk menghindari deteksi otomatis oleh sistem analisis statis.

Contoh string terbalik yang digunakan:

hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg

Saat dibalik, string ini mengarah ke gambar QR code berisi instruksi obfuscated yang dirancang untuk dijalankan langsung oleh paket.

Cara Malware Bekerja

Payload berbahaya dari QR code dirancang untuk:

  • Membaca cookie melalui document.cookie.
  • Mengambil username dan password (string juga diacak terbalik, misalnya drowssap menjadi password).
  • Jika data lengkap, informasi dikirim ke server C2 melalui HTTPS POST request ke:
https://my-nest-app-production[.]up[.]railway[.]app/users

Jika data tidak lengkap, malware berhenti tanpa aktivitas mencolok.

Ancaman dan Dampaknya

Paket fezbox sempat diunduh lebih dari 327 kali sebelum dihapus. Meski jumlahnya relatif kecil, kasus ini menunjukkan inovasi berbahaya dalam teknik steganografi:

  • Biasanya malware disembunyikan dalam metadata atau file media.
  • Kali ini, QR code dipakai untuk mengaburkan komunikasi dengan server C2, menyamarkannya sebagai lalu lintas gambar biasa.

Kesimpulan

Kasus fezbox menegaskan bahwa aktor ancaman akan memanfaatkan media apapun, bahkan QR code, untuk menyusupkan instruksi berbahaya. Developer disarankan untuk:

  • Memverifikasi asal-usul paket npm sebelum instalasi.
  • Menggunakan pemindai keamanan dependensi.
  • Berhati-hati terhadap pustaka baru yang tidak jelas reputasinya.

Sumber: BleepingComputer

Tags
September 23, 2025
1 minute read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button