Serangan Supply Chain Infeksi Paket AsyncAPI di npm, Malware Curian Kredensial Sasar Developer

Lima versi berbahaya dari paket AsyncAPI sempat dipublikasikan ke Node Package Manager (npm) dalam sebuah serangan supply chain yang menyisipkan malware dengan kemampuan remote access dan pencurian kredensial.
Insiden ini menargetkan paket-paket di namespace @asyncapi yang secara keseluruhan memiliki lebih dari 2,25 juta unduhan setiap minggu, sehingga berpotensi berdampak pada ribuan proyek JavaScript dan Node.js di seluruh dunia.
Berawal dari Kompromi GitHub Actions
Sejumlah perusahaan keamanan, termasuk Step Security, mengonfirmasi bahwa pada 14 Juli 2026 pelaku berhasil mengompromikan dua repository GitHub milik AsyncAPI.
Berbeda dengan banyak serangan supply chain sebelumnya, insiden ini bukan disebabkan oleh pencurian token npm maupun akun maintainer.
Pelaku justru memanfaatkan workflow GitHub Actions yang salah konfigurasi.
Melalui celah tersebut, penyerang menyisipkan commit menggunakan identitas Git sementara, kemudian memanfaatkan workflow resmi proyek untuk menerbitkan paket berbahaya ke npm menggunakan mekanisme GitHub OIDC Trusted Publisher.
Akibatnya, seluruh paket yang diterbitkan tetap memiliki SLSA Provenance Attestation yang sah sehingga tampak berasal dari proses build resmi.
Paket yang Terdampak
Paket yang diketahui telah disusupi meliputi:
- @asyncapi/generator versi 3.3.1
- @asyncapi/generator-helpers versi 1.1.1
- @asyncapi/generator-components versi 0.7.1
- @asyncapi/specs versi 6.11.2
- @asyncapi/specs versi 6.11.2-alpha.1
Di antara seluruh paket tersebut, @asyncapi/specs merupakan yang paling banyak digunakan dengan sekitar 2,1 juta unduhan per minggu.
Malware Diunduh Bertahap
Menurut analisis Socket, malware diawali dengan sebuah JavaScript yang telah diobfuscasi.
Saat file yang terinfeksi diimpor ke dalam proyek, kode tersebut akan mengaktifkan downloader untuk mengambil tahap berikutnya.
Tahap kedua diunduh melalui jaringan InterPlanetary File System (IPFS), kemudian dijalankan sebagai proses tersembunyi.
Sementara itu, Wiz mengungkap bahwa payload tahap ketiga merupakan framework malware berukuran sekitar 92.000 baris kode dengan arsitektur modular.
Mampu Bertahan dan Berkomunikasi Melalui Berbagai Kanal
Malware ini dirancang agar tetap aktif di sistem yang telah terinfeksi (persistence).
Komunikasi dengan server Command-and-Control (C2) dilakukan melalui berbagai media, antara lain:
- HTTP
- Nostr Relay
- Ethereum Smart Contract
- Jaringan libp2p
Pendekatan tersebut membuat proses pemutusan komunikasi malware menjadi jauh lebih sulit dibandingkan malware konvensional.
Menargetkan Berbagai Kredensial Penting
Berdasarkan analisis beberapa perusahaan keamanan, malware ini berfokus mencuri berbagai informasi sensitif, termasuk:
- Username dan password.
- API key.
- Authentication token.
- Browser data.
- Informasi dari sistem CI/CD.
- Data dari AI developer tools.
- Dompet cryptocurrency.
- Database.
Malware juga mampu mengunduh utilitas seperti Gitleaks dan HackBrowserData untuk membantu proses pencarian data sensitif di perangkat korban.
Sebagian Fitur Belum Berfungsi
Meski demikian, peneliti dari Aikido menemukan bahwa sebagian besar fungsi pencurian data pada malware tersebut belum berjalan sebagaimana mestinya.
Tool pengumpul data diketahui berhenti sebelum berhasil mencuri informasi.
Walaupun begitu, penyerang tetap dapat menjalankan berbagai aktivitas secara manual melalui shell yang telah diperoleh.
Di sisi lain, Ox Security menemukan adanya mekanisme yang membuat malware menghentikan dirinya sendiri apabila mendeteksi sistem berada di wilayah Rusia.
Pengembang Diminta Segera Memeriksa Proyek
Seluruh paket berbahaya kini telah dihapus dari npm.
Namun, proyek yang sempat melakukan instalasi selama periode paparan masih berpotensi menyimpan versi berbahaya di dalam lock file maupun cache dependency.
Periode paparan diperkirakan berlangsung sekitar 4 jam 7 menit, yaitu antara 07:10 hingga 11:18 UTC pada 14 Juli 2026.
Pengembang disarankan segera melakukan langkah berikut:
- Memastikan hanya menggunakan versi paket yang telah dipastikan aman.
- Membuat ulang lock file proyek.
- Menghapus payload tersembunyi NodeJS/sync.js apabila ditemukan.
- Menghentikan seluruh proses malware yang masih berjalan.
- Mengganti seluruh kredensial pada sistem yang berpotensi terdampak.
Kasus ini kembali menunjukkan bahwa serangan terhadap rantai pasok perangkat lunak (software supply chain) masih menjadi salah satu ancaman terbesar bagi ekosistem open source, terutama ketika proses otomatisasi CI/CD tidak dikonfigurasi dengan aman.
Sumber: Step Security








