Gelombang Baru Serangan Rantai Pasok

Gelombang Baru Serangan Rantai Pasok – Ekosistem pengembang Javascript kembali menghadapi ancaman serius setelah para peneliti keamanan siber menemukan empat paket berbahaya baru di dalam registri npm.

Salah satu paket tersebut diketahui berisi klon langsung dari cacing siber (worm) “Shai-Hulud” yang kode sumbernya sempat bocor ke publik baru-baru ini.

Keempat paket ini diunggah oleh satu nama pengguna npm yang sama, yaitu deadcode09284814. Meskipun diterbitkan oleh aktor yang sama, masing-masing paket membawa jenis muatan (payload) berbahaya yang berbeda-beda, mulai dari alat pencuri data (infostealer) hingga komponen jaringan komputer zombi (botnet).

Teknik yang digunakan mengandalkan typo-squatting, yaitu memalsukan nama pustaka (library) populer dengan sedikit kesalahan ketik agar diunduh oleh pengembang yang kurang teliti.

Daftar paket berbahaya yang berhasil diidentifikasi meliputi:

chalk-tempalte (Telah diunduh sebanyak 825 kali)
axois-utils (Telah diunduh sebanyak 963 kali)
color-style-utils (Telah diunduh sebanyak 934 kali)
@deadcode09284814/axios-util (Telah diunduh sebanyak 284 kali)

Analisis Payload

Berdasarkan investigasi mendalam yang dilakukan oleh para peneliti, berikut adalah rincian fungsionalitas dari masing-masing paket palsu tersebut:

1. Paket chalk-tempalte

Paket ini menyalahgunakan nama pustaka populer chalk (yang biasa digunakan untuk mewarnai teks di terminal). Di dalamnya, peretas menanamkan klon langsung dari kode sumber cacing siber Shai-Hulud yang bocor di forum peretasan.

Aktor ancaman mengambil kode tersebut hampir tanpa perubahan sama sekali, lalu mengunggah versi fungsionalnya dengan server perintah dan kontrol (C2) milik mereka sendiri di alamat 87e0bbc636999b.lhr[.]life.

Data kredensial yang berhasil dicuri dari komputer pengembang tidak hanya dikirim ke server C2 tersebut, tetapi juga dieksploitasi secara otomatis menggunakan token GitHub korban yang dicuri untuk membuat repositori publik baru di akun GitHub korban dengan deskripsi khusus: “A Mini Sha1-Hulud has Appeared”.

2. Paket axois-utils

Paket yang memalsukan pustaka HTTP klien populer axios ini dirancang untuk mengirimkan malware berbasis bahasa pemrograman Go (Golang) bernama Phantom Bot.

Ini adalah komponen botnet pertahanan terdistribusi (Distributed Denial of Service/DDoS) yang memiliki kemampuan untuk membanjiri situs web target menggunakan protokol HTTP, TCP, dan UDP.

Malware ini juga membangun kegigihan (persistence) agar tetap aktif di komputer korban dengan cara memasukkan dirinya ke dalam folder Startup pada sistem operasi Windows serta membuat tugas terjadwal (Scheduled Task) pada sistem berbasis Linux.

3. Paket color-style-utils

Dua paket terakhir ini membawa fungsi pencurian data (infostealer) yang lebih konvensional namun tetap fatal.

Skrip di dalamnya secara agresif menyedot data sensitif dari perangkat pengembang, termasuk:

Kunci SSH.
Variabel lingkungan (environment variables).
Kredensial layanan awan (cloud credentials).
Informasi spesifikasi sistem, alamat IP.
Data dompet mata uang kripto.

Data curian tersebut masing-masing dikirim ke server penyerang di alamat IP 80.200.28[.]28:2222 dan domain edcf8b03c84634.lhr[.]life.

Dampak bagi Lingkungan Pengembang

Para peneliti memperingatkan bahwa motivasi para penjahat siber untuk melakukan serangan rantai pasok kini semakin tinggi karena ketersediaan kode Shai-Hulud secara terbuka membuat pembuatan serangan menjadi jauh lebih mudah dan cepat.

Bahaya terbesar dari infeksi di lingkungan pengembang adalah paparan terhadap alat bantu pengkodean berbasis AI (coding agents) dan lingkungan pengembangan terintegrasi (IDE) seperti Claude Code atau VS Code.

Jika pustaka berbahaya ini sempat dimuat ke dalam proyek kerja, skrip tersebut dapat membaca riwayat perintah, kunci API yang tersimpan di dalam berkas konfigurasi lingkungan (.env), serta memanipulasi alur kerja otomatisasi pengujian kode.

Rekomendasi Pemulihan

Bagi para pengembang aplikasi dan tim keamanan TI perusahaan yang mendeteksi adanya aktivitas interaksi dengan paket-paket di atas, berikut adalah langkah penanganan darurat yang harus segera diambil:

1. Hapus Paket Segera.

Jalankan perintah uninstal untuk menghapus paket-paket tersebut secara permanen dari direktori proyek Anda (npm uninstall <nama_paket>).

2. Bersihkan Konfigurasi IDE.

Cari dan hapus konfigurasi berbahaya atau skrip otomatis mencurigakan dari lingkungan IDE dan asisten pengkodean AI Anda (seperti Claude Code).

3. Rotasi Rahasia (Secret Rotation):

Segera ganti semua kata sandi, token API GitHub, kunci akses AWS/Google Cloud, dan kredensial lainnya yang tersimpan di dalam komputer yang terinfeksi. Asumsikan bahwa seluruh rahasia tersebut telah bocor.

4. Audit Repositori GitHub.

Periksa akun GitHub organisasi atau pribadi Anda. Cari apakah ada pembuatan repositori publik baru secara tidak sah yang mengandung string deskripsi “A Mini Sha1-Hulud has Appeared”.

5. Blokir Akses Jaringan.

Di tingkat firewall jaringan perusahaan, lakukan pemblokiran terhadap domain dan alamat IP C2 yang digunakan dalam serangan ini:

87e0bbc636999b.lhr[.]life
edcf8b03c84634.lhr[.]life
80.200.28[.]28

Selain itu, fitur perlindungan jaringan ESET akan langsung memotong koneksi keluar yang mengarah ke server C2 penyerang jika ada skrip yang mencoba mengirimkan data kredensial hasil curian.

Gelombang Baru Serangan Rantai Pasok

Kemunculan seorang aktor tunggal yang mampu menyebarkan beberapa teknik dan jenis infostealer sekaligus di registri npm merupakan indikasi awal dari gelombang baru serangan rantai pasok yang diprediksi akan semakin masif di sepanjang tahun 2026.

Keberadaan kode sumber terbuka dari malware canggih seperti Shai-Hulud telah menurunkan hambatan teknis bagi penjahat siber amatir untuk meluncurkan serangan berskala besar.

Bagi komunitas pengembang, memeriksa kembali ejaan nama paket sebelum melakukan instalasi dan menerapkan kebijakan verifikasi ketergantungan pustaka (dependency verification) yang ketat adalah satu-satunya cara untuk memastikan integritas kode dan keamanan aset digital perusahaan tetap terjaga.

Baca artikel lainnya: