Serangan siber bermodus supply chain attack kembali mengguncang ekosistem pengembang JavaScipt. Paket npm populer node-ipc, yang berfungsi sebagai modul komunikasi antarproses (inter-process communication) pada Node.js, dilaporkan telah disusupi oleh malware jenis infostealer (pencuri informasi) pada versi terbarunya yang diterbitkan baru-baru ini.
Meskipun paket ini sempat menuai kontroversi besar pada Maret 2022 karena pembuatnya sengaja menyisipkan kode penghapus data (protestware) yang menargetkan sistem di Rusia dan Belarus, paket node-ipc masih sangat populer dengan catatan lebih dari 690.000 unduhan mingguan di repositori npm.
Versi Terinfeksi dan Mekanisme Kerja
Sejumlah perusahaan keamanan aplikasi terkemuka, termasuk Socket, Ox Security, dan Upwind, mendeteksi adanya kode berbahaya yang disisipkan oleh aktor eksternal setelah berhasil mengambil alih akun milik salah satu pemelihara (maintainer) pasif bernama ‘atiertant’.
Tiga versi node-ipc yang dipastikan berbahaya dan wajib dihindari adalah:
node-ipc@9.1.6node-ipc@9.2.3node-ipc@12.0.1
Kode jahat tersebut disembunyikan di dalam entrypoint CommonJS (node-ipc.cjs) dan akan dieksekusi secara otomatis begitu aplikasi atau proyek Node.js yang menggunakannya dimuat (load).
Malware ini dirancang dengan teknik obfuskasi yang sangat pekat, melakukan pemindaian karakteristik sistem (fingerprinting), mengumpulkan variabel lingkungan (environment variables), serta membaca file lokal yang sensitif.
Daftar Data Sensitif yang Diincar
Malware ini secara spesifik berburu kredensial dan hak akses milik para pengembang teknologi, di antaranya:
- Kredensial Cloud: Akses AWS, Azure, GCP, OCI (Oracle), dan DigitalOcean.
- Kunci Akses: Kunci SSH (SSH keys) beserta file
ssh_config. - Akses DevOps & Infrastruktur: Kredensial Kubernetes, Docker, Helm, dan Terraform.
- Token Repositori: Token akses untuk npm, GitHub, GitLab, dan Git CLI.
- Kredensial Aplikasi: File
.env(Environment) dan kredensial basis data (database). - Rahasia Sistem: Riwayat perintah shell (shell histories) dan secrets pada jalur CI/CD.
- Penyimpanan Kunci: File macOS Keychain dan Linux keyrings.
- Data Aplikasi Lain: Profil dan database kunci Firefox (pada macOS), serta penyimpanan lokal Microsoft Teams.
Catatan Efisiensi Malware: Untuk menghindari kecurigaan sistem dan mengurangi beban kerja, malware ini secara otomatis melewati (skip) file yang berukuran lebih dari 4 MiB serta mengabaikan direktori
.gitdannode_modules.
Eksfiltrasi Data Cerdas via DNS TXT
Aktor di balik serangan ini menggunakan metode eksfiltrasi data yang sangat cerdik untuk menghindari deteksi sistem keamanan jaringan (seperti Firewall atau IDS). Alih-alih mengirimkan data curian melalui lalu lintas HTTP/HTTPS konvensional, mereka memanfaatkan Kueri DNS TXT.
- Kompresi Data: Data yang berhasil dikumpulkan dikompresi ke dalam arsip sementara berformat
.tar.gz. - Jalur Pengiriman: Menggunakan domain palsu bertema Azure (
sh[.]azurestaticprovider[.]net:443) sebagai bootstrap resolver untuk mengirimkan pecahan data kebt[.]node[.]js. - Kamuflase Trafik: Sebagai gambaran, untuk mengirimkan satu file arsip terkompresi berukuran 500 KB, malware akan menghasilkan sekitar 29.400 permintaan DNS TXT. Pola lalu lintas ini sengaja dibuat agar menyatu dan tersamarkan di antara ribuan aktivitas DNS normal pada jaringan korporat.
- Penghapusan Jejak: Setelah proses transfer selesai, file arsip
.tar.gzdi direktori temporer akan langsung dihapus guna meminimalkan jejak forensik digital.
Malware ini tidak menanamkan mekanisme persistence (bertahan di sistem setelah reboot) maupun mengunduh beban kerja sekunder (secondary payloads), mengindikasikan bahwa operasi ini murni berfokus pada pencurian kredensial pengembang secara cepat dan masif.
Rekomendasi Tindakan untuk Pengembang
Bagi para pengembang, penanggung jawab infrastruktur CI/CD, maupun penyedia layanan berbasis Node.js, langkah-langkah darurat berikut wajib segera dilakukan:
- Periksa File Kunci: Segera audit file
package-lock.json,yarn.lock, ataupnpm-lock.yamlpada seluruh proyek Anda. Pastikan tidak ada dependensi yang mengarah ke tiga versi berbahaya di atas. - Bersihkan Cache: Jalankan perintah pembersihan cache npm secara menyeluruh untuk memastikan versi berbahaya tidak tersimpan di lokal perangkat.
- Rotasi Rahasia (Secret Rotation): Jika proyek Anda sempat memuat versi tersebut, anggap seluruh token, kunci SSH, kredensial cloud, dan kata sandi database Anda telah berkompromi. Segera lakukan rotasi dan ganti seluruh kredensial tersebut.