Temuan-temuan baru-baru ini telah membawa perhatian baru terhadap ancaman keamanan yang mengintai dalam ekosistem npmSebuah kampanye yang muncul terkait dengan operasi cyber Korea Utara memanfaatkan paket npm berbahaya untuk membahayakan komputer pengembang perangkat lunak, terutama dengan menyamar sebagai perekrut teknologi yang menawarkan pekerjaan jarak jauh dengan bayaran tinggi. Strategi yang diperhitungkan ini, menggabungkan tipu daya teknis dan rekayasa sosial yang meyakinkan, menyoroti betapa rentannya rantai pasokan sumber terbuka terhadap serangan canggih.
Para penyelidik menemukan bahwa dalang di balik kampanye ini, yang diyakini terkait dengan operasi “Wawancara Menular”, telah menerbitkan 35 paket npm berbeda di 24 akunPaket-paket ini telah melampaui 4,000 unduhan, dan yang mengkhawatirkan, beberapa dilaporkan masih tersedia di registri. Metodologi serangan ini berakar dalam rekayasa sosial: pengembang yang mencari pekerjaan didekati, biasanya melalui LinkedIn, oleh individu yang mengaku sebagai perekrut. Para pengembang kemudian dikirimi tugas pengkodean melalui Google Docs atau repositori Bitbucket, dengan penilaian palsu yang berisi instruksi untuk memasang modul npm tertentu—modul yang, pada kenyataannya, dicampur dengan malware.
Rincian Teknis: Pengiriman Malware Multi-Tahap
Di bawah permukaan, infrastruktur serangan menggunakan strategi penyebaran berlapis-lapis dirancang untuk ketahanan dan kerahasiaan. Rantai infeksi dimulai dengan Pemuat HexEval, sebuah loader yang tersembunyi dalam paket npm yang mengambil sidik jari sistem host dan memulai komunikasi dengan infrastruktur jarak jauh milik penyerang. String yang dikodekan dalam hex dan kode yang dikaburkan memastikan bahwa detail penting—seperti titik akhir perintah dan kontrol—hanya terungkap saat runtime, sehingga loader sulit dideteksi selama analisis statis.
Setelah korban menginstal paket yang disusupi dan menjalankan kode yang disediakan, HexEval mengirimkan informasi sistem terperinci (seperti rincian OS, nama host, dan info jaringan) dan mengambil tahap berikutnya: Ekor Berang-berangMalware ini dirancang sebagai pencuri informasi lintas platform, yang ahli dalam mengumpulkan data browser, token sesi, dan file dompet mata uang kripto. Jika target sesuai dengan kriteria yang diinginkan, BeaverTail kemudian memuat Musang Tak Terlihat, pintu belakang yang memungkinkan penyerang mengakses berkas dari jarak jauh, mengambil tangkapan layar, dan mempertahankan kendali perangkat lama setelah pelanggaran awal.
Perlu dicatat, beberapa paket npm berbahaya memiliki senjata tambahan: keylogger mampu merekam penekanan tombol dan mengekstrak data sensitif secara real time. Analis menemukan bahwa fungsi ini tampaknya diperuntukkan bagi korban yang sangat bernilai atau yang dirancang khusus, karena hal tersebut hanya terungkap dalam sebagian kecil akun penyerang.
Typosquatting dan Peniruan Proyek Tepercaya
Salah satu aspek yang paling meresahkan dari skema ini adalah penggunaan nama paket salah ketik, yang meniru pustaka terkemuka untuk meningkatkan kemungkinan instalasi yang tidak disengaja. Contoh yang dikutip oleh peneliti keamanan termasuk variasi kecil atau kesalahan ejaan dari proyek populer, seperti react-plaid-sdk, reactbootstraps, vite-plugin-next-refresh, node-orm-mongoose, dan chalk-configTaktik penipuan semacam itu sangat efektif, karena pengembang yang bergerak cepat bisa jadi secara tidak sengaja memasang paket berbahaya, karena mengira itu adalah pustaka yang sudah mapan.
Pendekatan ini menjadi lebih meyakinkan karena komunikasi yang dipersonalisasi dari para penyerang. Dengan memanfaatkan intelijen sumber terbuka, para penyerang menyusun penjangkauan khusus kepada para pencari kerja, menawarkan posisi dengan gaji yang diduga antara $192,000 dan $300,000 untuk memikat para korban ke dalam jaringan mereka. Para kandidat sering ditekan untuk menjalankan kode tersebut “secara langsung”—terkadang selama wawancara berbagi layar—dan tidak disarankan untuk menjalankannya dalam lingkungan yang aman dan terkontainerisasi.
Para analis keamanan telah menunjukkan bahwa kombinasi penundaan pementasan malware, jejak registri minimal, dan pengiriman muatan bersyarat mempersulit upaya peninjauan otomatis dan manual. Evolusi dalam metodologi penyerang ini menunjukkan keakraban mendalam dengan cara kerja pengembang dan alat keamanan yang mereka andalkan.
Langkah-Langkah Pertahanan bagi Pengembang dan Komunitas Open-Source
Sadar akan risiko yang terkait dengan registri npm dan rantai pasokan sumber terbuka, sangat penting bagi pengembang untuk mengadopsi langkah-langkah keamanan proaktif. Disarankan agar paket tidak dikenal harus selalu diuji di lingkungan yang terkurung atau tervirtualisasi sebelum dijalankan di mesin lokal. Menggabungkan alat yang menganalisis potensi ancaman dalam paket npm dapat mengurangi risiko infiltrasi secara signifikan. Selain itu, penerapan alat deteksi malware tingkat lanjut dan peningkatan kesadaran akan taktik rekayasa sosial juga merupakan langkah penting untuk mengurangi paparan.
Karena serangan seperti ini tidak menunjukkan tanda-tanda akan mereda, ekosistem sumber terbuka harus terus memperkuat pertahanannya. Respons cepat dari komunitas penelitian keamanan, termasuk upaya untuk menandai dan menghapus ancaman aktif, berperan penting dalam membatasi jangkauan operasi semacam itu. Ketekunan dan pendidikan yang berkelanjutan tetap penting untuk menjaga ekosistem npm tetap aman. Untuk mendalami strategi perlindungan, lihat artikel kami tentang bagaimana melindungi proyek npm Anda.
