- Serangan yang sedang berlangsung saat ini berupaya menginfeksi perangkat pengembang yang bergantung pada pustaka kode tersebut dengan mengunggah ratusan paket berbahaya ke repositori NPM (Node Package Manager)
- Nama paket berbahaya dibuat mirip dengan pustaka kode sah seperti Puppeteer, Bignum.js, serta berbagai pustaka kripto
- Kampanye ini masih aktif saat tulisan ini dipublikasikan dan ditemukan oleh perusahaan keamanan Phylum
Perlu waspada terhadap serangan rantai pasok
- Pembuat malware harus mencari cara baru untuk menyembunyikan niat mereka dan mengaburkan server jarak jauh yang mereka kendalikan
- Ini adalah peringatan berkelanjutan bahwa serangan rantai pasok terus berlangsung secara aktif
- Paket berbahaya yang terpasang menggunakan cara baru untuk menyembunyikan alamat IP yang dihubungi guna mengambil muatan malware tahap kedua yang berbahaya
- Dalam kode tahap pertama, alamat IP sama sekali tidak muncul. Sebagai gantinya, kode tersebut mengakses smart contract Ethereum untuk mengambil string (alamat IP) yang terkait dengan alamat kontrak tertentu di Ethereum mainnet
- Alamat IP yang dikembalikan dalam paket yang dianalisis Phylum adalah hxxp://193.233.201[.]21:3001
- Menyimpan data di blockchain Ethereum memungkinkan alamat IP yang sebelumnya digunakan penyerang untuk dilihat
- Ethereum menyimpan catatan yang tidak dapat diubah dari semua perubahan nilai yang pernah ada
- Karena itu, semua alamat IP yang digunakan oleh pelaku ancaman ini dapat dilihat
- Paket berbahaya dipasang dalam bentuk paket Vercel dan dijalankan di memori
- Muatan diatur agar dimuat setiap kali reboot dan terhubung ke alamat IP pada kontrak Ethereum
- Lalu melakukan beberapa permintaan untuk mengambil file Javascript tambahan, kemudian mem-posting kembali informasi sistem ke server permintaan yang sama
- Informasi ini mencakup GPU, CPU, jumlah memori mesin, nama pengguna, dan informasi versi OS
- Serangan yang memanfaatkan salah ketik digunakan secara luas
- Serangan ini bergantung pada typosquatting, yaitu penggunaan nama yang sangat mirip dengan paket sah tetapi hanya berbeda beberapa huruf
- Typosquatting telah digunakan selama 5 tahun terakhir untuk menipu pengembang agar mengunduh pustaka kode berbahaya
- Pengembang harus selalu memeriksa ulang nama paket sebelum menjalankan paket yang diunduh
8 komentar
Kalau sedang menggunakan smart contract, mungkin kita juga bisa balik menyerang dan menguras gas milik peretas ya wkwkwk
Bagaimanapun juga, si koin itu yang jadi masalah
Akan bagus kalau ada semacam pencari malware di Nix store, saya harus coba cari. Para developer, pindahlah semuanya ke nix. Semua aset digital harus dibekukan dan dikunci agar tidak bisa disentuh. Lalu negara juga seharusnya bikin RAG AI lalu mendistribusikannya ke perusahaan, kapan mau dilakukan? Semangat. Kapan lingkungan pengembangan yang bahkan kalah dari Asia Tenggara ini akan berakhir?
Memangnya Anda bekerja di perusahaan seperti apa sampai harus bekerja dalam lingkungan pengembangan yang bahkan kalah dari Asia Tenggara...
Maksud Anda, ini bukan masalah perusahaan melainkan akibat persoalan kebijakan negara, ya.
Masalah ini cukup sering terjadi di npm; apakah repositori paket untuk bahasa lain tidak punya masalah seperti ini?
Misalnya, apakah itu aman karena pengaturan default package manager-nya
allow-net=falseatauignore-scripts=true, atau sebenarnya situasinya mirip..Npm sering kelihatan karena memang banyak dipakai
repositori paket bahasa lain juga sama saja.
Alat-alat yang secara otomatis mengambil dan menggunakan library dari jarak jauh seperti ini, seperti cargo, alire, maven, dan sebagainya, tampaknya semuanya terpapar ancaman yang serupa, bukan?