Serangan Malware Shai-Hulud 2.0 di NPM Bocorkan Hingga 400.000 Rahasia Pengembang

Serangan kedua Shai-Hulud minggu lalu mengekspos sekitar 400.000 rahasia mentah setelah menginfeksi ratusan paket di Node Package Manager (NPM) dan menyebarkan data curian ke lebih dari 30.000 repositori GitHub.

Dampak dan Validitas Token

Meski hanya sekitar 10.000 rahasia yang terverifikasi valid menggunakan alat pemindaian open-source TruffleHog, peneliti dari platform keamanan cloud Wiz melaporkan bahwa lebih dari 60% token NPM yang bocor masih aktif per 1 Desember 2025. Hal ini menimbulkan risiko nyata terhadap rantai pasokan perangkat lunak.

Shai-Hulud pertama kali muncul pada pertengahan September, menginfeksi 187 paket NPM dengan payload yang menyebar otomatis, mengidentifikasi token akun, menyuntikkan skrip berbahaya, dan mempublikasikannya kembali. Pada serangan kedua, malware memengaruhi lebih dari 800 paket dan bahkan memiliki mekanisme destruktif yang dapat menghapus direktori home korban jika kondisi tertentu terpenuhi.

Jenis Data yang Terbocorkan

Analisis Wiz menemukan berbagai jenis file berisi rahasia yang tersebar di repositori GitHub:

• 70% repositori berisi contents.json dengan username GitHub, token, dan snapshot file.
• 50% repositori memiliki truffleSecrets.json berisi hasil pemindaian TruffleHog.
• 80% repositori menyimpan environment.json berisi informasi OS, metadata CI/CD, metadata paket NPM, serta kredensial GitHub.
• 400 repositori berisi actionsSecrets.json dengan rahasia alur kerja GitHub Actions.

Meski banyak data yang “berisik” dan perlu deduplikasi, ratusan rahasia valid tetap ditemukan, termasuk token cloud, kredensial VCS, dan token NPM.

Distribusi Infeksi

Dari analisis 24.000 file environment.json, sekitar 23% berasal dari mesin pengembang, sementara sisanya dari runner CI/CD. Mayoritas sistem yang terinfeksi adalah Linux (87%), dengan 76% berjalan di container.

Platform CI/CD yang paling terdampak adalah GitHub Actions, diikuti oleh Jenkins, GitLab CI, dan AWS CodeBuild. Paket yang paling banyak terinfeksi adalah @postman/[email protected] dan @asyncapi/[email protected], yang menyumbang lebih dari 60% total infeksi.

Sebagian besar infeksi (99%) terjadi melalui event preinstall yang menjalankan node setup_bun.js, sementara sisanya kemungkinan merupakan percobaan uji.

Prediksi Serangan Lanjutan

Wiz memperingatkan bahwa pelaku di balik Shai-Hulud kemungkinan akan terus menyempurnakan teknik mereka, sehingga gelombang serangan baru diprediksi akan muncul di masa depan. Identifikasi dan netralisasi paket kunci sejak awal disebut dapat mengurangi dampak besar dari serangan ini.

Sumber: Wiz