Celah Kritis SimpleHelp Dieksploitasi untuk Sebarkan Malware Baru Djinn Stealer

Pelaku ancaman siber mulai mengeksploitasi kerentanan kritis pada platform SimpleHelp untuk menyebarkan malware baru bernama Djinn Stealer, sebuah information stealer lintas platform yang mampu menyerang sistem Windows, macOS, dan Linux.

Kerentanan yang dilacak sebagai CVE-2026-48558 ini memungkinkan penyerang memperoleh akses administrator tanpa proses autentikasi pada server SimpleHelp yang dikonfigurasi menggunakan protokol OpenID Connect (OIDC).

Celah Memungkinkan Penyerang Membuat Akun Administrator

SimpleHelp merupakan platform Remote Monitoring and Management (RMM) yang banyak digunakan oleh Managed Service Provider (MSP), tim IT, helpdesk, hingga administrator sistem untuk mengelola perangkat dari jarak jauh.

Awal bulan ini, peneliti keamanan mengungkap bahwa CVE-2026-48558 dapat dimanfaatkan untuk membuat akun teknisi dengan hak akses tinggi tanpa perlu login terlebih dahulu.

Saat kerentanan tersebut dipublikasikan, diperkirakan terdapat sekitar 1.000 server SimpleHelp yang masih terhubung ke internet dalam konfigurasi yang rentan.

Serangan Gunakan TaskWeaver Sebagai Malware Loader

Dalam salah satu insiden yang dianalisis oleh penyedia layanan Managed Detection and Response (MDR), penyerang berhasil mengeksploitasi celah autentikasi tersebut untuk membuka sesi teknisi pada server SimpleHelp yang dapat diakses dari internet.

Setelah memperoleh akses, pelaku mengunduh malware loader baru bernama TaskWeaver melalui sebuah file JavaScript yang disamarkan sebagai jquery.js dan di-host pada domain sementara milik Cloudflare.

TaskWeaver berfungsi sebagai malware loader yang mengidentifikasi karakteristik perangkat korban sebelum berkomunikasi dengan server Command and Control (C2) untuk mengunduh modul JavaScript tambahan yang kemudian dijalankan pada sistem target.

Tahap berikutnya adalah pemasangan Djinn Stealer, malware baru yang hingga kini belum pernah didokumentasikan sebelumnya.

Djinn Stealer Bidik Kredensial Developer dan Infrastruktur Cloud

Berbeda dengan information stealer pada umumnya, Djinn Stealer memiliki fokus utama terhadap lingkungan pengembangan perangkat lunak modern, terutama yang memanfaatkan layanan cloud dan AI.

Malware ini mampu mencuri berbagai jenis informasi sensitif, di antaranya:

• Kredensial layanan cloud, identity service, deployment platform, serta cloud management tools.
• Konfigurasi Git, GitHub CLI, SSH key, Docker, Helm, Terraform, Pulumi, HashiCorp Vault, dan berbagai solusi secrets management.
• Data autentikasi package manager seperti npm, Yarn, pnpm, Cargo, Maven, Gradle, pip, hingga NuGet.
• Token autentikasi, konfigurasi lokal, session data, serta konfigurasi Model Context Protocol (MCP) yang digunakan berbagai AI coding assistant seperti Claude, Gemini, Codex, Cline, OpenCode, dan Kilo.
• Wallet cryptocurrency beserta keystore dari berbagai aplikasi desktop seperti Bitcoin, Ethereum, Monero, Litecoin, Dogecoin, Dash, Zcash, Exodus, Atomic Wallet, dan Electrum.
• Data browser, shell history, konfigurasi SSH, PGP key, konfigurasi database client, informasi sistem operasi, hingga berbagai file pengguna lainnya.

Khusus pada sistem Linux, Djinn Stealer juga berusaha membaca file virtual /proc/<pid>/cmdline dan /proc/<pid>/environ yang dapat berisi berbagai informasi sensitif seperti API key, kredensial, session token, URL, hingga path aplikasi yang sedang berjalan.

AI Coding Assistant Menjadi Target Baru

Peneliti juga mengingatkan bahwa pencurian konfigurasi AI development tools dapat memberikan dampak yang jauh lebih besar dibandingkan sekadar pencurian akun.

Banyak AI coding assistant modern menggunakan Model Context Protocol (MCP) untuk mengakses repository kode, database, layanan cloud, maupun API internal atas nama penggunanya.

Konfigurasi beserta token akses tersebut umumnya disimpan secara lokal pada perangkat developer. Apabila berhasil dicuri, penyerang berpotensi memperoleh akses ke berbagai sistem internal yang sebelumnya telah diotorisasi untuk AI assistant tersebut.

Data Dikompresi dan Dienkripsi Sebelum Dikirim

Sebelum mengirimkan data hasil pencurian ke server Command and Control, Djinn Stealer terlebih dahulu mengemas seluruh informasi ke dalam arsip TAR, kemudian mengompresinya menggunakan GZIP.

Selanjutnya data dienkripsi menggunakan algoritma AES-256-GCM, sementara kunci enkripsinya diamankan menggunakan RSA-2048 public key yang telah ditanamkan di dalam malware TaskWeaver.

Metode ini membuat proses pencurian data menjadi lebih sulit dideteksi sekaligus menjaga kerahasiaan data selama proses transmisi.

Administrator Diminta Segera Melakukan Pembaruan

Munculnya eksploitasi aktif terhadap CVE-2026-48558 menjadi peringatan serius bagi organisasi yang masih menggunakan SimpleHelp.

Administrator disarankan segera memperbarui seluruh server SimpleHelp ke versi terbaru yang telah menutup kerentanan tersebut. Selain itu, seluruh sesi teknisi yang tidak dikenali sebaiknya segera dibatalkan.

Apabila terdapat indikasi kompromi, organisasi juga disarankan untuk segera melakukan rotasi seluruh password, API key, SSH key, serta kredensial lain yang mungkin telah terekspos selama insiden berlangsung.