Security

Serangan Supply Chain ‘PhantomRaven’ Sebarkan 88 Paket NPM Berbahaya untuk Mencuri Data Developer

March 12, 2026
2 minutes read

Gelombang baru serangan supply chain bernama PhantomRaven kembali menargetkan ekosistem npm dengan puluhan paket berbahaya yang dirancang untuk mencuri data sensitif dari pengembang JavaScript.

Serangan ini pertama kali diungkap pada Oktober 2025 oleh peneliti dari perusahaan keamanan siber Koi, yang menemukan bahwa kampanye tersebut telah berjalan sejak Agustus 2025 dengan menerbitkan 126 paket berbahaya di platform npm.

Kini, peneliti dari Endor Labs melaporkan tiga gelombang tambahan serangan antara November 2025 hingga Februari 2026, yang menyebarkan 88 paket berbahaya melalui sekitar 50 akun sekali pakai.

Meniru Proyek Populer dengan Teknik Slopsquatting

Dalam banyak kasus, pelaku menggunakan teknik slopsquatting, yaitu membuat nama paket yang mirip dengan proyek populer.

Beberapa paket meniru proyek terkenal seperti:

  • Babel
  • GraphQL Codegen

Nama paket sering dibuat menyerupai rekomendasi yang dihasilkan oleh large language models (LLM), sehingga terlihat meyakinkan bagi developer yang mencari dependensi melalui alat AI atau mesin pencarian.

Menurut Endor Labs, hingga saat ini 81 dari paket berbahaya tersebut masih tersedia di registry npm.

Menghindari Deteksi dengan Remote Dynamic Dependencies

Kampanye PhantomRaven menggunakan teknik penghindaran deteksi bernama Remote Dynamic Dependencies (RDD).

Alih-alih menyertakan kode berbahaya langsung dalam paket npm, pelaku menambahkan dependensi eksternal pada file package.json yang menunjuk ke URL server milik penyerang.

Dengan metode ini, kode berbahaya tidak berada di dalam paket yang dipublikasikan, sehingga dapat melewati pemeriksaan otomatis yang biasanya dilakukan oleh platform atau alat keamanan.

Ketika developer menjalankan perintah npm install, dependensi tersebut akan otomatis diunduh dari server penyerang dan langsung dieksekusi.

Mencuri Token CI/CD dan Informasi Sistem

Setelah dijalankan, malware dalam paket tersebut akan mengumpulkan berbagai data sensitif dari sistem korban.

Beberapa informasi yang menjadi target antara lain:

  • Email dari file konfigurasi seperti .gitconfig dan .npmrc
  • Variabel lingkungan sistem
  • Token CI/CD dari platform seperti GitHub, GitLab, Jenkins, dan CircleCI

Selain itu, malware juga mengumpulkan informasi sistem untuk melakukan fingerprinting perangkat, termasuk:

  • Alamat IP
  • Hostname perangkat
  • Sistem operasi
  • Versi Node.js

Data Dicuri dan Dikirim ke Server Penyerang

Pada tahap akhir, data yang telah dikumpulkan akan dikirim ke server command-and-control (C2) milik penyerang.

Proses pengiriman data biasanya dilakukan melalui HTTP GET request, namun metode HTTP POST dan WebSocket juga digunakan sebagai alternatif untuk memastikan data tetap dapat dikirim meskipun satu metode gagal.

Infrastruktur Serangan Tetap Konsisten

Endor Labs menemukan bahwa seluruh gelombang serangan PhantomRaven menggunakan infrastruktur yang hampir identik.

Beberapa pola yang teridentifikasi antara lain:

  • Domain yang mengandung kata “artifact”
  • Server yang dihosting di Amazon Elastic Compute Cloud (EC2)
  • Banyak domain tidak menggunakan sertifikat TLS

Selain itu, kode malware yang digunakan hampir tidak berubah. Dari 259 baris kode, sebanyak 257 baris tetap identik di semua gelombang serangan.

Meski demikian, pelaku terus mengubah elemen operasional seperti:

  • Akun npm yang digunakan
  • Metadata paket
  • Endpoint server PHP
  • Alamat domain

Pada serangan terbaru, pelaku bahkan menerbitkan empat paket berbahaya dalam satu hari, yaitu pada 18 Februari 2026.

Ancaman Masih Berlangsung

Meskipun teknik yang digunakan tidak terlalu kompleks, kampanye PhantomRaven masih terus aktif hingga saat ini.

Penyerang berhasil mempertahankan operasinya dengan melakukan perubahan kecil pada domain, akun, dan nama dependensi, tanpa perlu mengubah struktur malware secara signifikan.

Imbauan Keamanan untuk Developer

Untuk mengurangi risiko serangan supply chain seperti PhantomRaven, para developer disarankan untuk:

  • Memverifikasi reputasi penerbit paket sebelum menggunakannya
  • Menghindari paket dari akun yang tidak dikenal
  • Tidak langsung menyalin dependensi yang direkomendasikan oleh AI atau sumber yang belum diverifikasi
  • Melakukan audit dependensi secara berkala

Langkah-langkah ini dapat membantu mencegah instalasi paket berbahaya yang menyusup ke dalam proyek pengembangan perangkat lunak.

Tags
March 12, 2026
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button