Kode Sumber Worm ‘Miasma’ Sempat Bocor di GitHub, Bawa Fitur Destruktif Dead-Man Switch
Kode sumber (source code) dari framework serangan pencuri kredensial berbahaya bernama Miasma dilaporkan sempat terekspos secara publik di platform GitHub. Perangkat peretas (toolkit) bermodel cacing komputer (worm) ini dikenal sangat agresif karena berfokus menyerang ekosistem open-source melalui skenario serangan rantai pasok (supply-chain attacks).
Berdasarkan analisis teknis, Miasma merupakan bentuk evolusi dari worm Shai-Hulud yang kode sumbernya juga pernah bocor di GitHub beberapa waktu lalu. Kedua malware ini berbagi banyak kesamaan fitur, teknik peretasan, hingga struktur kode pemrograman yang identik.
Metode penyebaran worm ini berjalan secara otonom dengan siklus sebagai berikut:
- Menginfeksi komputer milik pengembang perangkat lunak (developer).
- Mencuri kredensial lingkungan pengembangan (build environment) serta data akses cloud.
- Memanfaatkan kredensial curian tersebut untuk menyusup ke dalam paket dan repositori resmi.
- Meluncurkan versi pembaruan yang telah disisipi Trojan (trojanized) guna menginfeksi pengembang lain di jalur hilir (downstream) dan mengulang kembali siklusnya.
Kebocoran yang Disengaja Lewat Akun Korban
Firma keamanan siber SafeDep melaporkan bahwa kode sumber Miasma ini tersebar di internet melalui pemanfaatan sejumlah akun developer GitHub yang telah berhasil diretas oleh kelompok penjahat siber tersebut. Di setiap akun korban, penyerang membuat sebuah repositori baru dengan nama seragam, yaitu Miasma-Open-Source-Release.
Pola penyebaran yang serempak ini mengindikasikan bahwa aktor ancaman sengaja merilis kode sumber tersebut ke publik demi memperluas kekacauan, alih-alih akibat faktor ketidaksengajaan. Sebelum kebocoran kode ini terjadi, malware Miasma telah dikaitkan dengan beberapa serangan siber tingkat tinggi, termasuk manipulasi paket npm Red Hat serta pembobolan terhadap 73 repositori milik Microsoft di GitHub.
Kemampuan Serangan Tanpa Server Komando (C2)
Salah satu temuan paling mengejutkan dari analisis kode sasis Miasma adalah fakta bahwa toolkit ini sama sekali tidak membutuhkan infrastruktur server komando (Command and Control / C2) eksternal konvensional untuk beroperasi. Miasma justru memanipulasi platform GitHub itu sendiri untuk bertindak sebagai pusat kendali komunikasinya.
Miasma dirancang untuk memanen kredensial dari penyedia layanan cloud, sistem CI/CD, aplikasi pengelola kata sandi, Kubernetes, hingga brankas penyimpanan kunci rahasia (secret stores). Data curian tersebut dipakai untuk merusak paket pada registri npm, PyPI, dan RubyGems, serta memanipulasi alur kerja GitHub Actions dan instance JFrog Artifactory.
Selain mampu bergerak secara lateral di dalam jaringan lokal via protokol SSH dan AWS Systems Manager (SSM), worm ini juga memiliki kemampuan meracuni konfigurasi file pada berbagai alat bantu pengodean berbasis kecerdasan buatan (AI coding tools) populer, seperti Claude, Gemini, Cursor, Copilot, Kiro, dan Cline.
Fitur Destruktif Dead-Man Switch dan Enkripsi Lima Tahap
Di dalam rangkaian kode Miasma yang bocor, peneliti menemukan fitur pertahanan diri berbahaya berupa sakelar pemutus otomatis (dead-man switch). Fitur ini aktif ketika malware menggunakan token GitHub milik korban sebagai jalur keluar untuk pencurian data (exfiltration channel).
Sistem akan memantau validitas token tersebut setiap satu menit sekali. Jika token terdeteksi telah dicabut (revoked) oleh pemiliknya atau tim keamanan, Miasma akan langsung mengeksekusi perintah penghapusan destruktif secara rekursif (rm -rf ~/; rm -rf ~/Documents). Perintah ini akan menghapus seluruh file dan folder penting di direktori Home dan Documents pengguna dalam sekejap. Pada sistem Linux, fitur pemantau ini berjalan di latar belakang sebagai systemd user service, sedangkan pada macOS berjalan sebagai LaunchAgent, dengan masa aktif hingga 72 jam.
Untuk mempersulit deteksi antivirus berbasis tanda tangan digital (signature-based detection), Miasma dibekali jalur perakitan payload kustom yang melewati lima tahap enkripsi dan obfuskasi:
| Tahap Pembuatan Payload Miasma | Mekanisme Perlindungan Kode |
| Tahap 1 | Enkripsi aset internal per file menggunakan algoritma AES-256-GCM. |
| Tahap 2 | Pengacakan string teks (randomized string obfuscation) untuk mengelabui analisis statis. |
| Tahap 3 | Transformasi kode sumber (source transformations). |
| Tahap 4 | Obfuskasi bahasa pemrograman JavaScript. |
| Tahap 5 | Pembungkusan payload akhir menggunakan self-extracting loader dengan tiga lapisan enkripsi tambahan. |
Berkaca dari kasus kebocoran Shai-Hulud terdahulu yang memicu lahirnya varian baru yang lebih mematikan seperti Miasma, para ahli memprediksi kebocoran kode Miasma ini akan memicu lonjakan serangan supply-chain baru di masa mendatang karena kodenya diadopsi oleh kelompok peretas lain. Para pengembang perangkat lunak sangat disarankan untuk mengunci versi dependensi proyek (pin dependencies), menerapkan jeda waktu sebelum mengadopsi paket baru, serta selalu menguji build aplikasi di dalam lingkungan isolasi (sandbox).
Sumber: SafeDep Threat Intelligence Report
