Kebocoran Malware “Shai-Hulud” Picu Kampanye Infostealer Baru di Repositori npm

Ekosistem pengembang Node.js kembali menghadapi gelombang serangan supply chain. Kode sumber dari malware Shai-Hulud yang bocor ke publik minggu lalu, kini dilaporkan telah diadopsi oleh aktor ancaman lain untuk meluncurkan kampanye infostealer baru melalui repositori Node Package Manager (npm).

Serangan ini berhasil diendus selama akhir pekan oleh para peneliti dari perusahaan keamanan aplikasi OXsecurity. Pelaku memanfaatkan akun bernama deadcode09284814 untuk mengunggah empat paket berbahaya yang menargetkan kredensial pengembang, data dompet kripto, rahasia cloud (secrets), hingga mengubah perangkat korban menjadi mesin pembuat serangan siber.

Daftar Paket Berbahaya dan Modus Typosquatting

Aktor ancaman ini menggunakan teknik typosquatting (memalsukan nama paket populer dengan sedikit salah ketik) seperti menyasar pengguna library populer axios dan chalk.

Berikut adalah empat paket berbahaya yang wajib dihindari dan dihapus segera:

1. chalk-tempalte (Tiruan Shai-Hulud): Paket ini berisi salinan mentah dari malware Shai-Hulud tanpa enkripsi atau obfuskasi. Berfokus penuh pada pencurian kredensial pengembang, secrets, dan informasi akun.
2. @deadcode09284814/axios-util: Berfungsi spesifik untuk menguras kredensial lokal dan file konfigurasi layanan komputasi awan (cloud config).
3. axois-utils (Infostealer + DDoS Bot): Paket paling berbahaya di dalam kampanye ini karena selain mencuri data, ia juga menanamkan skrip botnet persisten untuk melancarkan serangan Distributed Denial of Service (DDoS).
4. color-style-utils: Infostealer standar yang secara khusus berburu data dompet mata uang kripto (crypto wallets) dan informasi alamat IP korban.

Aktor Berbeda Memanfaatkan Salinan Mentah

Malware Shai-Hulud awalnya dikembangkan oleh kelompok peretas TeamPCP, yang bertanggung jawab atas serangkaian serangan rantai pasok Mini Shai-Hulud sejak September 2025. Kode sumber malware ini bocor di GitHub minggu lalu disertai pesan provokatif: “Here We Go Again – Let the Carnage Continue. A Gift from TeamPCP.”

OXsecurity mengonfirmasi bahwa pelaku di balik kampanye akhir pekan ini bukanlah TeamPCP asli, melainkan aktor amatir yang memanfaatkan momentum kebocoran kode tersebut.

“Bukti kuat bahwa ini adalah aktor yang berbeda adalah karena kode malware Shai-Hulud di dalam paket chalk-tempalte merupakan salinan persis dari kode yang bocor tanpa adanya teknik obfuskasi atau penyamaran kode sama sekali.” — OXsecurity

Mekanisme Eksfiltrasi Data dan Botnet “Phantom”

Meskipun kurang canggih dari segi penyembunyian kode, fungsionalitas malware ini tetap berjalan sepenuhnya dan sangat merusak:

• Pengiriman Data: Data yang dijarah oleh tiruan Shai-Hulud ini dikirimkan ke server Command and Control (C2) eksternal di alamat 87e0bbc636999b[.]lhr[.]life.
• Ekspos Kredensial Publik: Karena kode asli TeamPCP tetap dipertahankan, malware ini memiliki fungsi otomatis untuk mengunggah kredensial pengembang yang dicuri langsung ke repositori GitHub publik yang dibuat secara otomatis oleh sistem.
• Kemampuan DDoS pada axois-utils: Paket tiruan axios ini menonjol karena memiliki kode internal bertajuk “phantom bot”. Modul ini mendukung serangan banjir lalu lintas jaringan berskala besar melalui metode HTTP, TCP, dan UDP floods, serta serangan TCP reset.

Dampak dan Tindakan Penyelamatan Darurat

Sebelum berhasil dideteksi dan diturunkan, empat paket berbahaya tersebut tercatat telah mengumpulkan total 2.678 unduhan oleh para pengembang yang tidak curiga.

Bagi Anda yang aktif mengelola dependensi JavaScript, pipa CI/CD, atau memelihara repositori kode untuk proyek digital, sangat disarankan untuk segera mengambil langkah mitigasi berikut:

1. Audit Dependensi: Periksa file package.json dan file kunci (package-lock.json / yarn.lock) pada seluruh proyek lokal maupun server Anda. Pastikan tidak ada dependensi tersembunyi ke empat nama paket di atas.
2. Bersihkan Cache Sistem: Jalankan perintah npm cache clean --force untuk memastikan sisa biner berbahaya tidak mengendap di lokal perangkat.
3. Rotasi Kredensial Massal: Jika sistem Anda terindikasi sempat mengunduh paket tersebut, anggap seluruh token API, kredensial cloud, kunci SSH, dan private key crypto Anda telah bocor. Segera lakukan penggantian (revoke and rotate) seluruh kunci akses tersebut sesegera mungkin.