Security

Waspada! Tes Wawancara Kerja Next.js Palsu Sisipkan Backdoor di Perangkat Developer

5 hours ago
2 minutes read

Sebuah kampanye terkoordinasi menargetkan para software developer dengan modus lowongan kerja palsu yang dibungkus dalam bentuk proyek Next.js dan materi tes teknis. Alih-alih menjadi bagian dari proses rekrutmen, repositori tersebut justru berisi kode berbahaya yang dirancang untuk menyusup ke perangkat korban.

Tujuan utama pelaku adalah memperoleh remote code execution (RCE), mencuri data sensitif, serta menanamkan payload tambahan pada sistem yang berhasil dikompromikan.

Modus: Proyek Next.js Palsu untuk Tes Coding

Next.js merupakan framework JavaScript populer untuk membangun aplikasi web berbasis React dengan dukungan backend melalui Node.js. Popularitasnya di kalangan developer membuat framework ini menjadi umpan yang efektif dalam skema serangan berbasis rekayasa sosial.

Tim Microsoft Defender mengungkap bahwa pelaku membuat proyek web palsu berbasis Next.js dan menyamarkannya sebagai proyek coding untuk dibagikan dalam proses wawancara atau technical assessment.

Awalnya, peneliti menemukan satu repositori berbahaya yang dihosting di Bitbucket. Namun, investigasi lanjutan mengungkap adanya beberapa repositori lain dengan struktur kode, logika loader, dan pola penamaan yang serupa. Hal ini menunjukkan adanya operasi yang terorganisasi, bukan serangan tunggal.

Ketika korban melakukan clone repositori dan membukanya secara lokal sesuai alur kerja standar, JavaScript berbahaya akan otomatis tereksekusi saat aplikasi dijalankan. Skrip tersebut kemudian mengunduh backdoor tambahan dari server pelaku dan mengeksekusinya langsung di memori melalui proses Node.js yang sedang berjalan, memungkinkan penyerang menjalankan kode jarak jauh di mesin korban.

Banyak Titik Eksekusi untuk Meningkatkan Infeksi

Untuk meningkatkan peluang keberhasilan, pelaku menyisipkan beberapa mekanisme pemicu eksekusi dalam repositori tersebut.

Salah satunya melalui konfigurasi VS Code. File .vscode/tasks.json diatur dengan parameter runOn: "folderOpen", yang menyebabkan skrip Node dijalankan segera setelah folder proyek dibuka dan dipercaya oleh pengguna.

Pemicu lain muncul saat developer menjalankan perintah npm run dev. Pada tahap ini, aset yang telah dimodifikasi—seperti library JavaScript yang telah ditrojanisasi—akan mendekode URL tersembunyi, mengambil loader dari server jarak jauh, lalu mengeksekusinya langsung di memori.

Selain itu, terdapat mekanisme pada saat backend server dijalankan. Modul backend akan mendekode endpoint berbasis Base64 dari file .env, mengirimkan variabel lingkungan (process.env) ke server penyerang, menerima kode JavaScript sebagai respons, dan menjalankannya menggunakan fungsi dinamis seperti new Function().

Dua Tahap Infeksi dan Kontrol Jarak Jauh

Setelah berhasil masuk, payload tahap pertama (Stage 1) akan melakukan profiling sistem korban dan mendaftarkan perangkat ke endpoint command-and-control (C2). Malware kemudian melakukan polling secara berkala ke server untuk menerima instruksi lanjutan.

Pada tahap kedua (Stage 2), infeksi meningkat menjadi tasking controller yang terhubung ke server C2 terpisah. Komponen ini memeriksa tugas yang tersedia, mengeksekusi JavaScript tambahan langsung di memori, serta memantau proses yang dijalankan.

Backdoor tersebut juga mendukung enumerasi file, penelusuran direktori, serta eksfiltrasi file secara bertahap. Dengan kemampuan ini, pelaku dapat mengakses kredensial, token, atau data sensitif lain yang tersimpan di endpoint developer.

Microsoft mencatat bahwa sejumlah repositori dalam kampanye ini memiliki kesamaan infrastruktur staging dan pola distribusi, mengindikasikan operasi terkoordinasi yang dirancang untuk menjangkau sebanyak mungkin target.

Developer Jadi Target Bernilai Tinggi

Walau detail mengenai identitas pelaku dan skala penuh operasi belum diungkap, kampanye ini menyoroti risiko besar yang dihadapi developer. Proses kerja sehari-hari seperti clone repository, membuka proyek di IDE, atau menjalankan server pengembangan kini menjadi permukaan serangan potensial.

Microsoft merekomendasikan agar developer memperlakukan workflow standar sebagai area berisiko tinggi dan menerapkan langkah mitigasi yang memadai. Beberapa di antaranya termasuk mengaktifkan fitur Workspace Trust atau Restricted Mode pada VS Code, menerapkan aturan Attack Surface Reduction (ASR), serta memantau aktivitas login berisiko menggunakan Entra ID Protection.

Selain itu, rahasia atau kredensial yang disimpan di endpoint developer sebaiknya diminimalkan. Penggunaan token berdurasi pendek dengan hak akses minimum juga sangat dianjurkan untuk mengurangi dampak apabila terjadi kompromi.

Kasus ini menjadi pengingat bahwa ancaman siber kini semakin menargetkan rantai pasok pengembangan perangkat lunak. Developer perlu meningkatkan kewaspadaan, terutama saat menerima proyek atau materi coding dari sumber yang belum terverifikasi secara menyeluruh.

Tags
5 hours ago
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button