Peretasan dan Malware dari Korea Utara
Sebuah perusahaan keamanan siber asal Amerika Serikat mengungkapkan bahwa peretas yang diduga berasal dari Korea Utara telah memodifikasi salah satu pustaka perangkat lunak paling populer di dunia menjadi alat untuk menyebarkan malware. Dalam laporan yang dirilis minggu lalu, para peneliti dari Socket, sebuah perusahaan yang fokus pada keamanan rantai pasokan, melaporkan bahwa mereka menemukan lebih dari 300 paket kode berbahaya yang diunggah ke registri npm, sebuah repositori pusat yang digunakan oleh jutaan pengembang untuk berbagi dan menginstal perangkat lunak berbasis JavaScript.
Paket Berbahaya dan Dampaknya
Paket-paket ini—yang merupakan potongan kecil kode yang dapat digunakan kembali dalam berbagai aplikasi, mulai dari situs web hingga aplikasi cryptocurrency—dirancang agar tampak tidak berbahaya. Namun, setelah diunduh, paket-paket tersebut menginstal malware yang dapat mencuri kata sandi, data browser, dan kunci dompet cryptocurrency. Socket menyebut kampanye ini sebagai “Contagious Interview,” yang merupakan bagian dari operasi canggih yang dilakukan oleh peretas yang didukung negara Korea Utara, yang menyamar sebagai perekrut teknologi untuk menargetkan pengembang yang bekerja di bidang blockchain, Web3, dan industri terkait.
Pentingnya Keamanan Rantai Pasokan
Mengapa ini penting: npm merupakan tulang punggung dari web modern. Jika ini dikompromikan, penyerang dapat menyisipkan kode berbahaya ke dalam banyak aplikasi hilir. Para ahli keamanan telah memperingatkan selama bertahun-tahun bahwa serangan “rantai pasokan perangkat lunak” seperti ini adalah salah satu yang paling berbahaya di dunia maya, karena mereka dapat menyebar secara tidak terlihat melalui pembaruan dan ketergantungan yang sah.
Metode Serangan dan Taktik
Para peneliti Socket melacak kampanye ini melalui sekelompok nama paket yang mirip—versi salah eja dari pustaka populer seperti express, dotenv, dan hardhat—serta pola kode yang terkait dengan keluarga malware Korea Utara yang sebelumnya diidentifikasi, yang dikenal sebagai BeaverTail dan InvisibleFerret. Para penyerang menggunakan skrip “loader” terenkripsi yang mendekripsi dan mengeksekusi muatan tersembunyi langsung di memori, sehingga meninggalkan jejak yang sangat sedikit di disk.
Skala dan Tanggapan
Perusahaan tersebut melaporkan bahwa sekitar 50.000 unduhan paket berbahaya terjadi sebelum banyak di antaranya dihapus, meskipun beberapa masih tetap online. Para peretas juga menggunakan akun perekrut LinkedIn palsu, sebuah taktik yang konsisten dengan kampanye spionase siber DPRK sebelumnya yang telah didokumentasikan oleh Badan Keamanan Siber dan Keamanan Infrastruktur AS (CISA) dan dilaporkan sebelumnya di Decrypt. Target utama dari kampanye ini, menurut para penyelidik, adalah mesin yang menyimpan kredensial akses dan dompet digital.
Reaksi dari GitHub dan Langkah Ke Depan
Meskipun temuan Socket sejalan dengan laporan dari kelompok keamanan dan lembaga pemerintah lain yang mengaitkan Korea Utara dengan pencurian cryptocurrency yang totalnya mencapai miliaran dolar, verifikasi independen dari setiap detail—seperti jumlah paket yang dikompromikan—masih tertunda. Namun, bukti teknis dan pola yang dijelaskan konsisten dengan insiden sebelumnya yang dikaitkan dengan Pyongyang.
Pemilik npm, GitHub, telah menyatakan bahwa mereka menghapus paket berbahaya saat ditemukan dan sedang meningkatkan persyaratan verifikasi akun. Namun, menurut para peneliti, pola ini mirip permainan whack-a-mole: ketika satu set paket berbahaya dihapus, ratusan lainnya segera muncul untuk menggantikannya. Bagi pengembang dan startup cryptocurrency, insiden ini menekankan betapa rentannya rantai pasokan perangkat lunak saat ini.
Rekomendasi untuk Pengembang
Para peneliti keamanan mendesak tim untuk memperlakukan setiap perintah “npm install” sebagai potensi eksekusi kode, memindai ketergantungan sebelum menggabungkannya ke dalam proyek, dan menggunakan alat penyaringan otomatis untuk menangkap paket yang telah dimanipulasi. Kekuatan ekosistem sumber terbuka—keterbukaannya—tetap menjadi kelemahan terbesarnya ketika lawan memutuskan untuk memanfaatkan.
