Security

Ratusan Repository GitHub Palsu Sebarkan Malware BoryptGrab dengan Menyamar Sebagai Software Populer

Peneliti keamanan siber mengungkap kampanye malware berskala besar yang memanfaatkan repository GitHub palsu untuk menyebarkan infostealer kepada para pengguna. Sedikitnya 292 repository ditemukan menyamar sebagai proyek open source maupun software populer guna meyakinkan korban agar mengunduh file berbahaya.

Kampanye ini ditemukan oleh peneliti dari Arctic Wolf setelah salah satu produk perusahaan tersebut dijadikan sasaran penyamaran oleh pelaku sejak 26 Juni 2026.

Meniru Software Populer dan Produk Keamanan

Repository palsu tersebut dibuat menyerupai proyek asli dengan tampilan yang meyakinkan.

Target penyamarannya mencakup berbagai kategori aplikasi, antara lain:

  • Produk keamanan siber.
  • Layanan cryptocurrency.
  • Aplikasi keuangan.
  • Developer tools.
  • Layanan email aman.
  • Utilitas macOS.
  • Software gaming.

Setiap repository dilengkapi file README yang berisi tautan unduhan menuju situs eksternal yang telah dipersiapkan pelaku.

Halaman Unduhan Dibuat Sangat Meyakinkan

Saat korban membuka tautan tersebut, mereka akan diarahkan ke halaman unduhan yang menggunakan desain seragam namun disesuaikan dengan nama software yang ditiru.

Halaman tersebut menampilkan berbagai elemen yang bertujuan membangun kepercayaan, seperti:

  • Tombol “Download Secure Content”.
  • Badge atau lencana keamanan palsu.
  • Branding yang menyerupai produk asli.

Menurut Arctic Wolf, seluruh situs tersebut dibangun menggunakan template HTML dan JavaScript yang sama, kemudian hanya mengganti identitas merek sesuai target penyamaran.

Menggunakan DLL Side-Loading untuk Menjalankan Malware

Korban yang mengunduh file akan menerima arsip ZIP berukuran besar.

Nama file maupun isi arsip tersebut berubah hampir setiap menit untuk mempersulit proses deteksi.

Di dalam arsip terdapat:

  • Sebuah file WinGUP updater yang sah dan telah ditandatangani secara digital.
  • File libcurl.dll yang telah dimodifikasi.

Ketika korban menjalankan executable tersebut, WinGUP akan melakukan DLL side-loading terhadap libcurl.dll.

DLL berbahaya tersebut kemudian mengeksekusi malware secara langsung di memori (reflective execution) tanpa harus menyimpan file tambahan ke sistem.

Mencuri Berbagai Informasi Sensitif

Malware yang digunakan diyakini merupakan varian dari keluarga BoryptGrab.

Infostealer ini dirancang untuk mengumpulkan berbagai data penting dari perangkat korban, termasuk:

  • Password, cookie, dan data pembayaran dari lebih dari 19 browser web.
  • Informasi dari 32 jenis dompet cryptocurrency.
  • Sesi Telegram.
  • Token Discord.
  • Token sesi Steam.
  • Kredensial aplikasi perpesanan Meta Max.
  • Data Windows Credential Manager.
  • File di folder Desktop dan Documents yang mengandung kata seperti password, wallet, recovery phrase, maupun backup.
  • Screenshot layar.
  • Informasi sistem.
  • Daftar software yang terpasang.

Mampu Melewati Perlindungan Chrome

Arctic Wolf juga menemukan kemampuan baru yang sebelumnya belum pernah didokumentasikan pada varian BoryptGrab ini.

Malware mampu melewati mekanisme App-Bound Encryption milik Google Chrome melalui teknik code injection langsung ke dalam proses browser.

Kemampuan tersebut memungkinkan pelaku memperoleh data sensitif yang sebelumnya dilindungi oleh mekanisme keamanan terbaru Chrome.

Data Dikirim ke Server di Rusia

Setelah seluruh informasi berhasil dikumpulkan, malware akan mengompres data tersebut sebelum mengirimkannya ke server command-and-control (C2) yang berlokasi di Rusia.

Menariknya, malware ini tidak berusaha mempertahankan keberadaan (persistence) di perangkat korban.

Sebaliknya, seluruh proses dirancang untuk mencuri sebanyak mungkin data hanya dalam satu kali eksekusi.

Arctic Wolf juga mencatat bahwa malware ini tidak memiliki mekanisme anti-analisis dan bahkan meninggalkan data sementara di direktori sistem, sehingga masih menyisakan artefak digital yang dapat membantu proses investigasi forensik.

GitHub Mulai Menghapus Repository Berbahaya

Pada saat laporan dipublikasikan, GitHub telah menghapus sebagian besar repository berbahaya tersebut.

Namun, peneliti menyebut masih terdapat puluhan halaman GitHub Pages yang tetap aktif dan masih dapat mengarahkan pengguna menuju situs malware.

Hingga kini identitas pelaku belum berhasil dipastikan. Meski demikian, Arctic Wolf menilai operator kampanye ini kemungkinan merupakan kelompok berbahasa Rusia yang bermotif finansial.

Sebagai langkah mitigasi, pengguna disarankan menghindari mengunduh software premium dari repository GitHub tidak resmi serta selalu memverifikasi keaslian proyek sebelum menjalankan file apa pun. Arctic Wolf juga telah merilis YARA rule dan Indicators of Compromise (IoC) untuk membantu organisasi mendeteksi aktivitas malware BoryptGrab.

Sumber: Arctic Wolf

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button