Security

Paket Palsu Paysafe, Skrill, dan Neteller di npm serta PyPI Curi Kredensial Developer

Peneliti keamanan menemukan sedikitnya 17 paket berbahaya yang diunggah ke Node Package Manager (npm) dan Python Package Index (PyPI) dengan menyamar sebagai Software Development Kit (SDK) resmi milik Paysafe, Skrill, dan Neteller.

Alih-alih menyediakan fungsi pembayaran seperti yang dijanjikan, paket-paket tersebut justru dirancang untuk mencuri kredensial, API key, token akses, dan berbagai informasi sensitif dari lingkungan pengembangan aplikasi.

Temuan ini diungkap oleh perusahaan keamanan aplikasi Socket, yang memperingatkan bahwa target utama kampanye ini adalah para developer yang mengintegrasikan layanan pembayaran ke dalam aplikasi mereka.

Menyamar Sebagai SDK Resmi

Paysafe merupakan platform pembayaran yang banyak digunakan oleh situs e-commerce, marketplace, layanan SaaS, bisnis perjalanan, hingga platform gaming.

Sementara itu, Skrill dan Neteller dikenal sebagai layanan dompet digital dan transfer dana yang populer di platform taruhan online, perdagangan Forex, serta bursa cryptocurrency.

Untuk menarik korban, pelaku menerbitkan paket yang menggunakan nama menyerupai SDK resmi, di antaranya:

Paket npm

  • paysafe-checkout
  • paysafe-vault
  • neteller
  • skrill-payments
  • paysafe-js
  • paysafe-api
  • paysafe-node
  • paysafe-cards
  • paysafe-fraud
  • paysafe-kyc
  • skrill
  • skrill-sdk
  • paysafe-payments

Paket PyPI

  • paysafe-kyc
  • paysafe-payments
  • paysafe-sdk
  • paysafe-api

Seluruh paket tersebut dirancang agar tampak meyakinkan dengan menyediakan API yang sesuai ekspektasi developer.

Mengembalikan Respons Palsu Sambil Mencuri Data

Socket menjelaskan bahwa SDK palsu tersebut tidak pernah berkomunikasi dengan server resmi Paysafe.

Sebaliknya, paket akan mengembalikan respons sukses palsu sehingga aplikasi tampak berjalan normal, sementara malware diam-diam mencari berbagai informasi sensitif di lingkungan pengembangan.

Data yang menjadi sasaran meliputi:

  • Paysafe API Key
  • AWS Access Key
  • GitHub Token
  • npm Token
  • Password
  • API Key lainnya
  • Hostname
  • Username
  • Metadata penggunaan API

Seluruh data tersebut kemudian dikirim ke server Command and Control (C2) yang dihosting di Amazon Web Services (AWS).

Perbedaan Malware pada npm dan PyPI

Socket menemukan bahwa implementasi malware pada npm dan PyPI memiliki cara kerja yang sedikit berbeda.

Pada paket npm, pencurian data hanya dijalankan apabila sistem menemukan Paysafe API Key. Selain itu, malware baru aktif ketika SDK palsu dipanggil oleh aplikasi.

Sebaliknya, paket PyPI langsung menjalankan proses pencurian data saat modul diinisialisasi tanpa memerlukan keberadaan Paysafe API Key.

Dengan demikian, pengguna Python berpotensi terdampak segera setelah paket diimpor ke dalam proyek.

Memiliki Fitur Anti-Analisis

Meski tergolong sederhana, malware ini juga dibekali beberapa mekanisme anti-analisis.

Malware akan menghentikan proses eksekusi apabila mendeteksi lingkungan yang diduga digunakan oleh peneliti keamanan, misalnya:

  • Sistem hanya memiliki kurang dari dua inti CPU.
  • Hostname mengandung indikasi mesin virtual.
  • Username menunjukkan lingkungan virtualisasi atau analisis.

Teknik tersebut bertujuan mengurangi kemungkinan malware dianalisis di lingkungan laboratorium keamanan.

Pelaku Dinilai Memiliki Kemampuan Teknis Tinggi

Hingga saat ini belum diketahui siapa pihak yang berada di balik kampanye tersebut.

Namun, Socket menilai pelaku memiliki kemampuan teknis yang cukup baik dan berpotensi kembali melancarkan serangan serupa dalam skala yang lebih besar.

Peneliti juga mengingatkan bahwa kemampuan pelaku berpindah antara ekosistem npm dan PyPI membuat upaya pertahanan menjadi lebih sulit apabila organisasi hanya memantau salah satu platform paket.

Langkah Mitigasi yang Disarankan

Bagi developer yang pernah menginstal salah satu paket tersebut, Socket merekomendasikan beberapa langkah segera, yaitu:

  • Mengganti (rotate) seluruh kredensial dan secret yang pernah digunakan pada mesin yang menginstal paket tersebut.
  • Memeriksa dependency tree untuk memastikan tidak ada paket berbahaya yang masih digunakan.
  • Memblokir nama-nama paket tersebut pada registry proxy internal.
  • Meninjau log sistem Continuous Integration (CI) untuk mencari penggunaan PAYSAFE_API_KEY yang berkaitan dengan paket-paket tersebut.

Kasus ini kembali menunjukkan meningkatnya ancaman software supply chain attack, di mana pelaku menyusupkan malware melalui paket yang tampak sah di repositori publik. Oleh karena itu, proses verifikasi dependensi serta pemantauan terhadap paket pihak ketiga menjadi langkah penting sebelum mengintegrasikannya ke dalam proyek pengembangan.

Sumber: Socket

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button