Kampanye serangan supply chain GlassWorm kembali muncul dengan skala yang jauh lebih besar. Dalam gelombang terbaru, malware ini berhasil menginfeksi ratusan repository, paket, dan ekstensi di berbagai platform populer seperti GitHub, npm, serta marketplace VSCode dan OpenVSX.
Para peneliti dari Aikido, Socket, Step Security, dan komunitas OpenSourceMalware mengidentifikasi setidaknya 433 komponen yang telah dikompromikan dalam serangan terbaru ini.
Serangan Terkoordinasi di Banyak Platform
GlassWorm diketahui menyebar secara luas melalui berbagai ekosistem pengembangan. Dalam gelombang terbaru, distribusi serangan meliputi:
- 200 repository Python di GitHub
- 151 repository JavaScript/TypeScript di GitHub
- 72 ekstensi VSCode dan OpenVSX
- 10 paket npm
Serangan dimulai dari akun GitHub yang telah diretas, di mana pelaku melakukan force-push untuk menyisipkan kode berbahaya ke dalam repository.
Selanjutnya, paket dan ekstensi yang telah terinfeksi dipublikasikan ke npm dan marketplace ekstensi, memperluas jangkauan serangan ke para developer.
Teknik Penyembunyian Canggih
Salah satu ciri khas GlassWorm adalah penggunaan karakter Unicode “tak terlihat” untuk menyamarkan kode berbahaya. Teknik ini membuat payload sulit terdeteksi oleh sistem keamanan maupun saat ditinjau secara manual.
Metode ini pertama kali terdeteksi pada Oktober tahun lalu dan kini kembali digunakan dalam skala yang lebih luas.
Manfaatkan Blockchain untuk Command-and-Control
Yang membuat serangan ini semakin unik adalah penggunaan blockchain Solana sebagai bagian dari infrastruktur command-and-control (C2).
Malware secara berkala, setiap lima detik, memeriksa transaksi baru di blockchain untuk mendapatkan instruksi. Informasi tersebut disisipkan dalam memo transaksi, termasuk URL untuk mengunduh payload terbaru.
Pendekatan ini membuat komunikasi C2 lebih sulit dilacak dan diblokir.
Target: Data Developer dan Kripto
GlassWorm dirancang untuk mencuri berbagai data sensitif, termasuk:
- Data dompet cryptocurrency
- Kredensial dan token akses
- Kunci SSH
- Informasi lingkungan pengembangan
Selain itu, malware juga mengunduh runtime Node.js dan menjalankan skrip pencuri data berbasis JavaScript.
Indikasi Pelaku dan Ciri Serangan
Analisis terhadap komentar kode menunjukkan kemungkinan keterlibatan aktor berbahasa Rusia. Menariknya, malware ini dirancang untuk tidak berjalan pada sistem dengan locale Rusia, meski hal ini belum cukup untuk atribusi pasti.
Para peneliti juga menemukan pola infrastruktur dan payload yang konsisten di seluruh platform, mengindikasikan satu aktor di balik kampanye ini.
Cara Deteksi dan Mitigasi
Para ahli keamanan menyarankan developer untuk melakukan pemeriksaan menyeluruh terhadap proyek yang digunakan, terutama jika menginstal paket langsung dari GitHub.
Beberapa indikator kompromi yang perlu diperhatikan antara lain:
- Adanya variabel mencurigakan seperti “lzcdrtfxyqiplpd”
- File ~/init.json yang digunakan untuk persistensi
- Instalasi Node.js yang tidak biasa di direktori home
- File mencurigakan seperti i.js dalam proyek baru
- Riwayat commit Git yang tidak wajar
Langkah pencegahan ini penting untuk menghindari pencurian data dan penyusupan lebih lanjut ke dalam sistem pengembangan.
Ancaman Supply Chain Kian Kompleks
Kembalinya GlassWorm menunjukkan bahwa serangan supply chain terhadap ekosistem open-source semakin kompleks dan sulit dideteksi.
Dengan memanfaatkan berbagai platform sekaligus dan teknik penyamaran canggih, pelaku mampu menjangkau ribuan developer di seluruh dunia dalam waktu singkat.
Organisasi dan developer kini dituntut untuk meningkatkan kewaspadaan serta memperkuat proses verifikasi kode sebelum digunakan dalam proyek produksi.