Microsoft Kaitkan Serangan Supply Chain Mastra AI dengan Kelompok Peretas Asal Korea Utara

Microsoft secara resmi mengaitkan insiden serangan rantai pasok (supply chain attack) pada ekosistem Mastra AI dengan kelompok peretas kawakan asal Korea Utara yang dikenal dengan nama sandi Sapphire Sleet atau BlueNoroff. Serangan siber ini dilaporkan telah mengompromikan lebih dari 140 paket manajemen pihak ketiga (npm packages).

Pengaitan aktor ancaman ini diumumkan oleh Microsoft setelah awal minggu ini mereka mendeteksi adanya aktivitas pembajakan akun salah satu pengelola (maintainer) repositori npm. Akun yang berhasil dikuasai peretas tersebut kemudian disalahgunakan untuk menerbitkan pembaruan paket kode yang telah disisipi program jahat (malware).

Berdasarkan hasil analisis forensik digital, Microsoft menilai dengan tingkat kepercayaan tinggi (high confidence) bahwa aktivitas spionase siber ini didalangi oleh Sapphire Sleet. Kelompok ini merupakan aktor negara (state actor) besutan Korea Utara yang rekam jejak operasinya dikenal secara global sering kali mengincar sektor finansial dan aset digital.

Investigasi teknis menunjukkan bahwa serangan bermula ketika aktor ancaman berhasil meretas akun maintainer npm bernama “ehindero”. Akun tersebut diketahui memiliki hak akses publikasi (publishing privileges) yang cukup luas di seluruh lingkungan pengembangan paket Mastra.

Memanfaatkan hak akses dari akun yang terkompromi tersebut, peretas meluncurkan pembaruan berbahaya untuk lebih dari 140 paket di dalam ruang lingkup (scope) @mastra. Pembaruan ini secara diam-diam menyuntikkan ketergantungan kode palsu (malicious dependency) bernama “easy-day-js”. Nama paket ini sengaja dirancang menyerupai teknik typosquatting untuk mengelabui pengguna agar mengira komponen tersebut adalah pustaka JavaScript “dayjs” asli yang sangat populer digunakan oleh para developer.

Ketika paket Mastra yang telah terinfeksi tersebut diinstal oleh para pengembang di perangkat mereka, dependency berbahaya ini secara otomatis memicu perintah eksekusi pasca-instalasi (post-install hook). Perintah tersebut bertugas menanamkan malware dropper ke dalam perangkat komputer milik pengembang dengan target utama untuk menguras data kredensial sensitif, API keys, token otentikasi, hingga akses ke dompet mata uang kripto (cryptocurrency wallets).

Sesaat setelah proses instalasi berjalan, komponen easy-day-js langsung mengeksekusi skrip dropper yang telah dikaburkan (obfuscated). Skrip ini bertugas menonaktifkan sistem verifikasi sertifikat Transport Layer Security (TLS) pada perangkat, membangun jalur komunikasi ke infrastruktur perintah dan kendali (C2 server) milik penyerang, mengunduh payload tahap kedua, serta mengeksekusinya sebagai proses tersembunyi yang terpisah dari sistem utama.

Berdasarkan struktur kodenya, payload tahap kedua yang diunduh merupakan jenis malware pencuri data lintas platform (cross-platform information stealer) yang dirancang secara spesifik agar dapat beroperasi di sistem operasi Windows, Linux, maupun macOS.

Implan jahat tersebut bertugas mengumpulkan berbagai informasi internal dari perangkat inang (host), mulai dari riwayat penjelajahan browser, daftar aplikasi yang terinstal, hingga proses sistem yang sedang berjalan. Selain menguras informasi sistem, malware ini juga secara khusus memindai keberadaan 166 ekstensi browser untuk dompet mata uang kripto populer, termasuk di antaranya MetaMask, Phantom, Coinbase Wallet, Binance Wallet, dan TronLink.

Guna mempertahankan posisinya di dalam sistem korban (persistence), malware ini menerapkan metodologi yang berbeda tergantung pada jenis sistem operasi yang diserang. Di lingkungan Windows, peretas memanfaatkan Registry Run keys; di lingkungan macOS menggunakan komponen LaunchAgents; sementara di lingkungan Linux memanfaatkan konfigurasi systemd services.

Microsoft mencatat bahwa sistem komputer yang terdeteksi sempat menjalin komunikasi dengan server C2 milik peretas menunjukkan adanya aktivitas lanjutan yang polanya sangat identik dengan taktik operasional khas kelompok Sapphire Sleet.

Aktivitas lanjutan tersebut mencakup penanaman pintu belakang berbasis perintah PowerShell (PowerShell backdoor) yang pernah digunakan kelompok ini pada operasi siber sebelumnya. Selain itu, peretas juga menambahkan mekanisme pertahanan persistensi baru, memanipulasi daftar pengecualian (exclusions) pada sistem antivirus Microsoft Defender, serta membuat layanan Windows Service palsu guna mendapatkan hak akses kontrol tertinggi di level SYSTEM.

Kelompok Sapphire Sleet sendiri merupakan aktor ancaman siber yang didukung penuh oleh pemerintah Korea Utara. Kelompok ini memiliki reputasi tinggi dalam melancarkan kampanye pencurian aset kripto berskala besar, penyebaran ekstensi browser berbahaya, penipuan berkedok tawaran pekerjaan fiktif, hingga manipulasi rantai pasok software untuk memanen kredensial berharga. Sebelum insiden Mastra AI ini, Microsoft juga mencatat bahwa kelompok yang sama bertanggung jawab atas serangan supply chain npm terpisah yang mengincar pustaka HTTP client populer, Axios, pada April lalu.