Microsoft Threat Intelligence menemukan dua paket npm yang telah dikompromikan yang mendistribusikan malware remote access trojan yang menargetkan pengembang dan pengguna kripto. Paket berbahaya tersebut, yang diidentifikasi sebagai utils-terminal@3.2.1 dan logger-active@3.2.1, mencuri penekanan tombol, tangkapan layar, dan kredensial dompet mata uang kripto dari sistem yang terinfeksi. Penyerang menggunakan repositori Hugging Face untuk mengekfiltrasi informasi yang dicuri, sehingga menyulitkan tim keamanan untuk mendeteksinya. Kampanye ini menargetkan workstation pengembang yang berisi dompet kripto berbasis peramban, private key, kredensial API bursa, dan kredensial layanan cloud. Temuan ini merupakan bagian dari risiko rantai pasokan perangkat lunak yang sedang berlangsung yang memengaruhi pengembang dan pengguna kripto yang menyimpan aset sensitif di mesin pengembangan.
Microsoft Mengidentifikasi Paket npm Berbahaya yang Mendistribusikan RAT Malware
Microsoft memperingatkan bahwa penjahat siber menargetkan pengembang dan pengguna mata uang kripto melalui perangkat lunak berbahaya yang disembunyikan di dalam paket npm publik. Menurut Microsoft Threat Intelligence, dua paket npm yang dikompromikan, yang diidentifikasi sebagai utils-terminal@3.2.1 dan logger-active@3.2.1, ditemukan mendistribusikan remote access trojan (RAT) yang mampu mencuri informasi sensitif dari sistem yang terinfeksi.
Paket berbahaya tersebut dilaporkan dirancang untuk mengumpulkan beragam data, termasuk penekanan tombol, tangkapan layar, kredensial dompet mata uang kripto, dan informasi rahasia lainnya. Karena npm merupakan salah satu registri perangkat lunak yang paling banyak digunakan untuk pengembang JavaScript, ancaman ini berpotensi berdampak pada sejumlah besar pengguna yang tanpa sadar menginstal dependensi yang telah dikompromikan saat membangun aplikasi atau layanan web.
Penyerang Mengalihkan Data yang Dicuri Melalui Platform Hugging Face
Microsoft menjelaskan bahwa para penyerang menggunakan Hugging Face, sebuah platform populer untuk proyek kecerdasan buatan dan machine learning, sebagai bagian dari proses eksfiltrasi data mereka. Dengan mengalihkan informasi yang dicuri melalui platform tepercaya, aktivitas berbahaya tersebut dapat tampak kurang mencurigakan dibandingkan komunikasi dengan server command-and-control tradisional, sehingga membuat deteksi lebih sulit bagi tim keamanan.
Malware Menargetkan Dompet Kripto dan Kredensial Pengembang
Ancaman ini sangat mengkhawatirkan bagi pengembang kripto dan investor. Workstation pengembang sering kali berisi dompet kripto berbasis peramban, cadangan private key, seed phrase, kredensial API bursa, GitHub access tokens, dan kredensial layanan cloud. Jika penyerang mendapatkan akses ke aset-aset tersebut, mereka berpotensi mengompromikan kepemilikan mata uang kripto, lingkungan pengembangan, sistem perdagangan, dan repositori kode sumber.
Kampanye Terkait dengan Serangan Rantai Pasokan Sebelumnya
Temuan Microsoft juga sejalan dengan tren serangan yang menargetkan rantai pasokan perangkat lunak. Pada bulan Mei, peneliti keamanan menemukan kampanye malware TrapDoor, yang menyebar melalui puluhan paket berbahaya di npm, PyPI, dan repositori Rust. Operasi tersebut secara khusus menargetkan pengembang kripto dan kecerdasan buatan dengan mencoba mencuri data dompet, kredensial cloud, kunci API, dan akses SSH.
Peringatan terbaru ini juga mengikuti laporan lain baru-baru ini dari Microsoft yang melibatkan malware cryptojacking. Dalam kampanye tersebut, penyerang diduga menggunakan hasil pencarian yang diracuni dan memanipulasi interaksi chatbot AI untuk mengarahkan pengguna ke unduhan perangkat lunak palsu. Setelah diinstal, program berbahaya memanfaatkan sumber daya sistem untuk menambang mata uang kripto tanpa sepengetahuan para korban.
Pakar Keamanan Merekomendasikan Rotasi Kredensial dan Peninjauan Paket
Pakar keamanan merekomendasikan agar pengembang meninjau dengan saksama paket yang baru diinstal, menghapus dependensi yang mencurigakan, melakukan rotasi kredensial yang berpotensi terekspos, serta memantau aktivitas dompet untuk transaksi yang tidak sah. Pengguna kripto juga disarankan untuk menghindari penyimpanan seed phrase di perangkat yang terhubung ke internet dan memverifikasi seluruh transaksi dompet secara menyeluruh sebelum menyetujuinya.
FAQ
Paket npm berbahaya apa yang ditemukan Microsoft?
Microsoft Threat Intelligence mengidentifikasi dua paket npm yang dikompromikan: utils-terminal@3.2.1 dan logger-active@3.2.1. Paket-paket ini mendistribusikan remote access trojan malware yang mampu mencuri penekanan tombol, tangkapan layar, kredensial dompet mata uang kripto, dan informasi rahasia lainnya dari sistem yang terinfeksi.
Bagaimana penyerang mengekfiltrasi data yang dicuri dari sistem yang terinfeksi?
Penyerang menggunakan Hugging Face, sebuah platform populer untuk proyek kecerdasan buatan dan machine learning, sebagai bagian dari proses eksfiltrasi data mereka. Dengan mengalihkan informasi yang dicuri melalui platform tepercaya, aktivitas berbahaya tersebut tampak kurang mencurigakan dibandingkan komunikasi dengan server command-and-control tradisional, sehingga membuat deteksi lebih sulit bagi tim keamanan.
Langkah keamanan apa yang direkomendasikan para ahli untuk pengembang?
Pakar keamanan merekomendasikan agar pengembang meninjau dengan saksama paket yang baru diinstal, menghapus dependensi yang mencurigakan, melakukan rotasi kredensial yang berpotensi terekspos, serta memantau aktivitas dompet untuk transaksi yang tidak sah. Pengguna kripto disarankan untuk menghindari penyimpanan seed phrase di perangkat yang terhubung ke internet dan memverifikasi seluruh transaksi dompet secara menyeluruh sebelum menyetujuinya.
