Kita Benar-Benar Berhasil Menghindari Ancaman Besar

(xeiaso.net)

1 poin oleh GN⁺ 2025-09-10 | Belum ada komentar. | Bagikan ke WhatsApp

Serangan rantai pasok yang baru-baru ini terjadi di ekosistem paket NPM sebenarnya berpotensi menimbulkan kerusakan yang jauh lebih besar
Penyerang menyalahgunakan pustaka populer, tetapi hanya menggunakan malware untuk mengubah alamat dompet kripto
Serangan ini dilakukan dengan mencuri informasi autentikasi dua faktor pengembang melalui email phishing yang sangat canggih
Jika digunakan dalam bentuk yang lebih mematikan (misalnya pencurian API key), ada potensi kerugian yang sangat besar
Hal ini menekankan pentingnya memahami bahwa semua dependensi berpotensi berisiko dan pentingnya memahami seluruh pohon dependensi

Gambaran serangan dan kekhawatiran

Baru-baru ini, paket populer di NPM, salah satu ekosistem paket terbesar, terekspos serangan
- Contoh fungsi: pemrosesan warna terminal, pemetaan nama warna-RGB, dekorator debugging fungsi, utilitas untuk memeriksa nilai mirip array, dan lain-lain
Dependensi umum seperti ini digunakan sangat luas, dan begitu kode masuk, besar kemungkinan langsung diterapkan ke lingkungan produksi
Jika serangan itu menyertakan proxy berbahaya, pencurian API key, atau serangan serius lainnya, ada risiko akibatnya akan jauh lebih parah
Dalam kejadian sebenarnya, malware tersebut hanya memanipulasi alamat pembayaran kripto di dompet online (misalnya MetaMask)

Titik awal serangan ini adalah email phishing yang dibuat dengan sangat baik
- Menggunakan nama pengguna NPM untuk memberi kesan personal
- Membangun kepercayaan dengan pesan yang meminta "mengubah kata sandi dan kredensial autentikasi dua faktor demi keamanan"
- Disusun dengan isi yang mudah menipu pengguna biasa, selaras dengan cara operasi NPM yang cukup khas
- Menyebutkan tenggat waktu tertentu untuk menciptakan urgensi, mendorong klik pada tautan phishing saat korban sedang sibuk dan lengah
- Menggunakan domain .help yang mirip dengan domain resmi NPM
Bagian yang paling menonjol hanyalah penggunaan "npmjs.help" alih-alih domain resmi
- Saat ini berbagai gTLD (Generic Top Level Domain) baru banyak digunakan untuk blog maupun dokumentasi, sehingga ini pun bisa tampak wajar

Email phishing tersebut memungkinkan penyerang mencuri informasi autentikasi dua faktor pengguna, lalu menyisipkan kode serangan dan merilis paket baru
Pustaka perwakilan yang sangat luas penggunaannya seperti is-arrayish, color-string, color-name menjadi sasaran
- Jika malware diperluas bukan hanya untuk pembajakan kripto sederhana, tetapi juga pencurian API key, dampaknya bisa sangat fatal
- Misalnya, kebocoran massal API key OpenAI atau AWS dapat menyebabkan kerusakan jangka panjang dalam skala besar
Pada kenyataannya, sebagian besar pustaka yang terinfeksi terutama digunakan di alat baris perintah, sehingga tujuan pencurian kripto menjadi lebih terbatas

Serangan kali ini tampaknya terutama menargetkan pengguna Web3 (misalnya pembayaran melalui browser)
- Dengan menyerang pustaka umum yang tidak terkait langsung dengan Web3, penyerang menghindari kemungkinan deteksi dan pemblokiran cepat oleh ekosistem Web3
- Misalnya, walaupun pustaka yang terhubung dengan MetaMask diperiksa dengan cermat, sulit membayangkan serangan akan muncul dari utilitas terkait warna teks

Kasus ini menegaskan bahwa semua paket dependensi pada praktiknya bisa bersifat berbahaya
- Ada batasan realistis untuk selalu mengendalikan atau memantau seluruh pohon dependensi sepenuhnya
- Ini menunjukkan bahwa di tengah alur deployment ke produksi yang cepat dan tekanan waktu, peninjauan keamanan mudah terdorong ke belakang
Ke depan, pentingnya memahami komposisi dependensi proyek secara menyeluruh dan mengelolanya dengan hati-hati akan semakin besar

Isi ini tidak dimaksudkan untuk menyalahkan atau membebankan tanggung jawab kepada pihak tertentu, dan penting untuk menyadari bahwa siapa pun dapat terekspos serangan phishing
Situasi bisa berubah setelah posting ini dipublikasikan, jadi jika ada kekeliruan atau pertanyaan tentang isi, perlu dilakukan verifikasi langsung

Tags: