Kampanye PhantomRaven: Paket NPM Berbahaya Unduh Infostealer Lintas-Platform

Sebuah kampanye serangan siber aktif menargetkan ekosistem paket npm, menyebarkan paket-paket yang meniru proyek sah dan secara otomatis mengunduh komponen pencuri informasi (infostealer) yang dapat mengekstrak kredensial dari Windows, Linux, dan macOS. Peneliti keamanan dari Socket melaporkan temuan ini pada akhir Oktober 2025, mengungkap minimal sepuluh paket jahat yang telah diunduh hampir 10.000 kali sejak diunggah pada 4 Juli 2025.

Pelaku menggunakan taktik typosquatting — membuat nama paket yang mirip atau salah eja dari pustaka populer — untuk memancing pengembang menginstal paket palsu. Daftar paket yang teridentifikasi meliputi: typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, dan zustand.js. Masing-masing meniru paket sah seperti TypeScript, discord.js, ethers.js, nodemon, react-router-dom, dan zustand.

Mekanisme serangan yang sulit dideteksi

Setelah perintah npm install, skrip postinstall paket jahat memicu eksekusi app.js yang berjalan di terminal dan langsung membersihkan tampilan untuk mengaburkan jejaknya. Loader tersebut menggunakan empat lapis obfuskasi (eval wrapper self-decoding, XOR dekripsi dengan kunci dinamis, payload ter-enkode URL, dan kontrol alur yang kompleks) sehingga analisis statis menjadi tidak efektif.

Untuk memberi kesan legitimasi, skrip menampilkan CAPTCHA palsu berbasis ASCII. Setelah itu, malware mengirim data fingerprint sistem dan informasi geolokasi korban ke server kendali, lalu mengunduh dan menjalankan binari platform-spesifik (PyInstaller, ~24 MB) dari server eksternal.

Data apa yang dicuri?

Infostealer ini dirancang menyapu berbagai sumber kredensial dan token, antara lain:

• Keyrings sistem: Windows Credential Manager, macOS Keychain, Linux SecretService/libsecret, KWallet.
• Data browser: profil, kata sandi tersimpan, cookie sesi dari browser berbasis Chromium dan Firefox.
• Kunci SSH dan file sensitif lain di lokasi umum.
• Token API / autentikasi seperti OAuth, JWT, dan token layanan CI/CD.

Setelah dikumpulkan, data tersebut dikemas menjadi arsip terkompresi dan dieksfiltrasi ke server penyerang yang dikaitkan dengan alamat IP 195[.]133[.]79[.]43, melalui staging sementara di direktori seperti /var/tmp atau /usr/tmp.

Mengapa serangan ini berbahaya?

Karena paket berbahaya ini tampak seperti dependensi sah dan memanfaatkan mekanisme instalasi npm yang menjalankan skrip secara otomatis, banyak pengembang — terutama yang mencari paket cepat melalui mesin pencari atau mengandalkan rekomendasi otomatis — berisiko mengunduh kode berbahaya tanpa menyadarinya. Lapisan obfuskasi dan pemuatan muatan dari jarak jauh membuat deteksi oleh pemindaian statis menjadi sulit dan memungkinkan serangan berlangsung lama sebelum teridentifikasi.

Imbauan dan langkah mitigasi untuk pengembang

Para peneliti dan praktisi keamanan menyarankan tindakan segera berikut:

• Verifikasi penerbit paket dan nama paket secara teliti—hindari paket dengan nama yang tampak seperti salah eja dari proyek populer.
• Gunakan registri dan penerbit tepercaya, serta periksa halaman proyek resmi sebelum instalasi.
• Blokir eksekusi skrip hooks (seperti postinstall) di lingkungan build otomatis bila memungkinkan, atau jalankan instalasi dalam lingkungan terisolasi (sandbox/CI runner dengan izin terbatas).
• Audit dependensi secara rutin, gunakan alat pemeriksa integritas paket dan policy scanning (SCA) untuk mendeteksi paket berbahaya.
• Jika sudah menginstal paket yang dicurigai: hapus paket, periksa proses yang berjalan, hapus file sementara di /var/tmp atau direktori terkait, dan rotasi semua token, kunci SSH, serta kata sandi yang mungkin tersimpan di sistem atau aplikasi yang terdampak.
• Pastikan sistem penyimpanan kredensial (keyring, password manager) dilindungi dengan enkripsi yang kuat dan praktik keamanan yang tepat.

Socket telah melaporkan temuan lengkap beserta indikator kompromi (IoC) ke npm; namun, beberapa paket masih terdaftar pada saat laporan dibuat, sehingga kewaspadaan komunitas sangat penting.

Sumber: Malicious NPM packages fetch infostealer for Windows, Linux, macOS