Security

Paket npm Jscrambler Disusupi Malware Infostealer, Hampir 1.500 Kali Diunduh

Perusahaan keamanan aplikasi web Jscrambler mengungkapkan bahwa paket resmi mereka di Node Package Manager (npm) sempat disusupi oleh pelaku ancaman yang berhasil menerbitkan beberapa versi berbahaya berisi malware pencuri data (infostealer).

Meskipun paket berbahaya tersebut hanya tersedia selama sekitar dua jam, data npm menunjukkan bahwa paket tersebut telah diunduh 1.479 kali sebelum akhirnya ditarik.

Beberapa Versi Paket Terinfeksi

Paket yang disusupi adalah jscrambler, yang digunakan bersama layanan Code Integrity milik Jscrambler untuk melindungi aplikasi JavaScript dari modifikasi maupun reverse engineering.

Versi yang diketahui telah disusupi meliputi:

  • 8.14
  • 8.16
  • 8.17
  • 8.20

Malware dijalankan secara otomatis melalui mekanisme preinstall hook, sehingga kode berbahaya akan dieksekusi bahkan sebelum proses instalasi paket selesai.

Jscrambler menegaskan bahwa insiden ini hanya berdampak pada paket npm tersebut dan tidak memengaruhi produk lainnya, termasuk layanan Webpage Integrity.

Berhasil Dihapus Dalam Dua Jam

Setelah mengetahui adanya aktivitas mencurigakan, Jscrambler segera:

  • Menarik seluruh versi berbahaya.
  • Mendeprikasikan paket yang terdampak.
  • Merilis versi aman 8.22.
  • Mengganti empat paket lain yang bergantung pada paket tersebut dengan versi baru yang telah dibersihkan.

Menurut Jscrambler, kompromi terjadi akibat kredensial akun npm yang digunakan untuk melakukan publikasi berhasil dicuri oleh pelaku.

Perusahaan menyatakan bahwa seluruh kredensial tersebut telah dicabut dan proses publikasi kini telah diperketat dengan lapisan keamanan tambahan.

Malware Mencuri Berbagai Data Sensitif

Perusahaan keamanan aplikasi Socket melakukan analisis terhadap paket yang telah disusupi.

Hasilnya menunjukkan bahwa malware dirancang untuk mencuri berbagai informasi penting dari komputer pengembang, termasuk:

Source Code dan Proyek

  • Source code aplikasi
  • File proyek

Kredensial Pengembang

  • Git credentials
  • SSH key
  • Environment variables
  • Token CI/CD

Kredensial Cloud

  • AWS
  • Microsoft Azure
  • Google Cloud Platform (GCP)
  • Kubernetes
  • Secret manager

Tool AI untuk Coding

Malware juga secara khusus mencari konfigurasi berbagai platform AI modern seperti:

  • Claude
  • Cursor
  • Windsurf
  • Visual Studio Code
  • Zed
  • MCP Configuration

Dompet Cryptocurrency

Target lainnya meliputi berbagai dompet aset digital, antara lain:

  • MetaMask
  • Phantom
  • Coinbase Wallet
  • Exodus
  • Trust Wallet

Termasuk juga seed phrase yang dapat digunakan untuk mengambil alih seluruh aset kripto korban.

Browser dan Aplikasi Komunikasi

Selain itu malware juga berusaha mencuri:

  • Cookie browser
  • Password yang tersimpan
  • Slack
  • Discord
  • Telegram

Menggunakan Obfuscation Tingkat Tinggi

Socket menjelaskan bahwa malware menggunakan teknik obfuscation yang cukup canggih.

Seluruh string penting di dalam malware dienkripsi menggunakan algoritma ChaCha20-Poly1305, sehingga proses analisis maupun reverse engineering menjadi jauh lebih sulit dibandingkan malware npm pada umumnya.

Pengguna Disarankan Menganggap Sistem Sudah Terkromi

Karena malware dijalankan pada tahap instalasi paket, seluruh sistem yang sempat memasang versi berbahaya sebaiknya dianggap telah mengalami kompromi.

Jscrambler menyarankan pengguna untuk:

  • Memastikan menggunakan paket jscrambler versi 8.22 atau lebih baru.
  • Melakukan rotasi seluruh password, token, API key, dan kredensial cloud.
  • Mengganti seluruh secret CI/CD.
  • Memindahkan aset cryptocurrency ke wallet baru apabila terdapat kemungkinan seed phrase telah dicuri.
  • Melakukan pemulihan dari backup yang dipastikan bersih jika diperlukan.

Insiden ini kembali menjadi pengingat bahwa serangan supply chain melalui ekosistem npm masih menjadi salah satu ancaman terbesar bagi pengembang perangkat lunak, terutama karena malware dapat dijalankan secara otomatis saat proses instalasi dependency berlangsung.

Sumber: Jscrambler, Socket

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button