Peneliti keamanan menemukan sebuah paket berbahaya di npm, bernama “fezbox”, yang memanfaatkan teknik tak biasa: menggunakan QR code untuk menyelundupkan dan mengeksekusi malware pencuri data. Paket ini sempat menyamar sebagai utility library di npmjs.com, registry open-source terbesar untuk JavaScript dan Node.js, sebelum akhirnya diturunkan oleh admin.
Teknik Serangan Menggunakan QR Code
Biasanya, QR code digunakan untuk kebutuhan manusia, seperti berbagi tautan atau konten pemasaran. Namun, pada kasus ini, pelaku ancaman menyembunyikan instruksi berbahaya di dalam gambar JPG berisi QR code.
- File utama berbahaya ditemukan di dist/fezbox.cjs (v1.3.0).
- Setelah 120 detik, kode akan mengambil dan mengeksekusi payload tahap kedua dari QR code yang ditanamkan.
- URL sumber disimpan dalam string terbalik untuk menghindari deteksi otomatis oleh sistem analisis statis.
Contoh string terbalik yang digunakan:
hxxps://res[.]cloudinary[.]com/dhuenbqsq/image/upload/v1755767716/b52c81c176720f07f702218b1bdc7eff_h7f6pn.jpg
Saat dibalik, string ini mengarah ke gambar QR code berisi instruksi obfuscated yang dirancang untuk dijalankan langsung oleh paket.
Cara Malware Bekerja
Payload berbahaya dari QR code dirancang untuk:
- Membaca cookie melalui document.cookie.
- Mengambil username dan password (string juga diacak terbalik, misalnya drowssap menjadi password).
- Jika data lengkap, informasi dikirim ke server C2 melalui HTTPS POST request ke:
https://my-nest-app-production[.]up[.]railway[.]app/users
Jika data tidak lengkap, malware berhenti tanpa aktivitas mencolok.
Ancaman dan Dampaknya
Paket fezbox sempat diunduh lebih dari 327 kali sebelum dihapus. Meski jumlahnya relatif kecil, kasus ini menunjukkan inovasi berbahaya dalam teknik steganografi:
- Biasanya malware disembunyikan dalam metadata atau file media.
- Kali ini, QR code dipakai untuk mengaburkan komunikasi dengan server C2, menyamarkannya sebagai lalu lintas gambar biasa.
Kesimpulan
Kasus fezbox menegaskan bahwa aktor ancaman akan memanfaatkan media apapun, bahkan QR code, untuk menyusupkan instruksi berbahaya. Developer disarankan untuk:
- Memverifikasi asal-usul paket npm sebelum instalasi.
- Menggunakan pemindai keamanan dependensi.
- Berhati-hati terhadap pustaka baru yang tidak jelas reputasinya.
Sumber: BleepingComputer