Bisa Ditembus Tanpa Kerentanan — Wujud Serangan 'Berbasis Kepercayaan' yang Menargetkan Pengembang Open Source

 (cybersecuritynews.com)
11 poin oleh darjeeling 9 hari lalu | 3 komentar | Bagikan ke WhatsApp

Para pengembang open source kini menghadapi jenis ancaman baru. Bukan eksploit yang rumit atau kerentanan zero-day, melainkan serangan social engineering yang menjadikan "kepercayaan" dalam komunitas pengembang itu sendiri sebagai senjata.

Pelaku saat ini menjalankan kampanye di Slack dengan menyamar sebagai figur nyata dari Linux Foundation untuk membujuk korban memasang file berbahaya.

Kronologi kejadian

Serangan ini pertama kali diungkap pada 7 April 2026, ketika Christopher "CRob" Robinson, CTO sekaligus kepala arsitek keamanan OpenSSF(Open Source Security Foundation), memposting peringatan berisiko tinggi ke mailing list OpenSSF Siren.

Arena serangan ini adalah workspace Slack TODO Group, kelompok kerja di bawah Linux Foundation, beserta komunitas open source terkait. TODO Group adalah komunitas para praktisi Open Source Program Office (OSPO).

Pelaku membangun identitas palsu yang sangat meyakinkan dari seorang pemimpin Linux Foundation yang dikenal luas, lalu mengirim DM Slack kepada korban berisi tautan phishing yang di-host di Google Sites, sebuah platform yang dipercaya banyak pengembang.

Tim analisis Socket.dev pertama kali menyelidiki serangan ini dan mendokumentasikan cara kerja teknisnya. Hasil penyelidikan menunjukkan bahwa ini bukan sekadar upaya phishing biasa, melainkan operasi multitahap yang dirancang untuk mengeksploitasi tingkat kepercayaan yang terbentuk secara alami di dalam komunitas open source.

Umpan: "Anda bisa tahu lebih dulu apakah PR Anda akan di-merge"

Pesan pelaku dirancang dengan sangat cermat. Dengan menyamar sebagai pemimpin Linux Foundation, pelaku memperkenalkan alat AI eksklusif yang diklaim dapat menganalisis dinamika proyek open source dan memprediksi kontribusi kode (PR) mana yang akan di-merge bahkan sebelum reviewer melihatnya.

Pesan itu menekankan kelangkaan dengan mengatakan bahwa alat tersebut "saat ini hanya dibagikan kepada segelintir orang", dan bersama tautan phishing, pelaku juga memberikan alamat email palsu serta access key agar workspace palsu tampak asli.

Analisis tahap demi tahap serangan

Serangan berlangsung dalam total 4 tahap:

Tahap 1 — Penyamaran identitas (Impersonation)

Membangun kepercayaan dengan menyalin profil Slack milik figur nyata dari Linux Foundation.

Tahap 2 — Phishing

Membujuk korban untuk mengeklik tautan phishing yang di-host di Google Sites. Halaman palsu yang terlihat seperti alur autentikasi normal akan mencuri alamat email dan kode verifikasi.

Tahap 3 — Pengumpulan kredensial (Credential Harvesting)

Setelah kredensial dicuri, situs phishing akan membujuk korban memasang sertifikat root berbahaya yang disamarkan sebagai "sertifikat Google".

Tahap 4 — Pengiriman malware (Malware Delivery)

Setelah sertifikat root terpasang, pelaku dapat diam-diam mencegat trafik terenkripsi antara perangkat korban dan semua situs web.

Mekanisme infeksi per platform

macOS

Setelah sertifikat root berbahaya dipasang, sebuah skrip otomatis mengunduh dan menjalankan biner bernama gapi dari IP jarak jauh (2.26.97.61). Biner ini memberi pelaku kendali penuh atas perangkat, termasuk akses ke file, pencurian kredensial tambahan, dan eksekusi perintah jarak jauh.

Windows

Melalui dialog kepercayaan browser, korban dibujuk untuk memasang sertifikat berbahaya, dan setelah itu pencegatan trafik terenkripsi yang sama menjadi mungkin.

Rekomendasi OpenSSF

OpenSSF merekomendasikan hal berikut kepada para pengembang yang aktif di komunitas Slack open source:

  1. Verifikasi identitas out-of-band: Jangan mempercayai identitas hanya berdasarkan nama tampilan atau foto profil Slack; verifikasi melalui saluran terpisah yang sudah dikenal
  2. Tolak permintaan pemasangan sertifikat root: Jangan pernah memasang sertifikat root dari tautan yang dikirim lewat chat atau email. Layanan yang sah tidak akan meminta ini
  3. Aktifkan MFA: Ini dapat meminimalkan dampak meskipun kredensial dicuri

Implikasi

Serangan ini patut diperhatikan karena menjadikan struktur kepercayaan komunitas itu sendiri, bukan kerentanan teknis, sebagai vektor serangan. Semakin erat sebuah komunitas seperti ekosistem open source, semakin mudah kewaspadaan keamanan melonggar di hadapan nama yang terasa akrab dan tawaran yang tampak meyakinkan.

Umpan berupa "memprediksi apakah PR akan di-merge dengan AI" juga menunjukkan betapa cermatnya serangan ini, karena dapat terasa sangat menarik bagi pengembang. Saat menghadapi tautan asing dan permintaan pemasangan sertifikat root, perlu ada kebiasaan untuk meragukan sekali lagi, bahkan bila sumbernya tampak tepercaya.

Artikel ini diterjemahkan dan disunting dari naskah asli Cyber Security News.

Bacaan terkait

3 komentar

 
shakespeares 8 hari lalu

Karena AI, para hacker jadi makin leluasa beraksi.
 
happing94 9 hari lalu

IT adalah perisai yang tidak bisa mengalahkan tombak
 
tangokorea 9 hari lalu

AI tampaknya sangat membantu para peretas.