Eksploitasi Peretasan Besar Menargetkan Kode JavaScript
Sebuah eksploitasi peretasan berskala besar yang menargetkan kode JavaScript dengan malware telah memicu alarm awal minggu ini, namun hanya berhasil mencuri $1.043 dalam cryptocurrency, menurut data dari Arkham Intelligence. Peneliti keamanan siber di Wiz menerbitkan analisis tentang serangan rantai pasokan yang “meluas” kemarin.
Rekayasa Sosial dan Kompromi Akun GitHub
Dalam sebuah posting blog, mereka menjelaskan bahwa pelaku jahat menggunakan rekayasa sosial untuk menguasai akun GitHub milik Qix (Josh Junon), seorang pengembang paket kode populer untuk JavaScript. Para peretas menerbitkan pembaruan untuk beberapa paket ini, menambahkan kode berbahaya yang dapat mengaktifkan API dan antarmuka dompet crypto, serta memindai transaksi cryptocurrency untuk menulis ulang alamat penerima dan data transaksi lainnya.
Skala dan Dampak Eksploitasi
Dengan mengkhawatirkan, peneliti Wiz menyimpulkan bahwa 10% dari lingkungan cloud mengandung beberapa instance dari kode berbahaya tersebut, dan bahwa 99% dari semua lingkungan cloud menggunakan beberapa paket yang menjadi target peretas—meskipun tidak semua lingkungan cloud ini akan mengunduh pembaruan yang terinfeksi. Meskipun potensi skala eksploitasi ini besar, data terbaru dari Arkham menunjukkan bahwa dompet pelaku ancaman sejauh ini hanya menerima jumlah yang relatif kecil, yaitu $1.043. Jumlah ini tumbuh sangat sedikit dalam beberapa hari terakhir, mencakup transfer yang sebagian besar berupa token ERC-20, dengan transaksi individu bernilai antara $1,29 hingga $436.
Ekspansi Eksploitasi ke Paket Lain
Eksploitasi yang sama juga telah meluas di luar paket npm Qix, dengan pembaruan kemarin dari JFrog Security mengungkapkan bahwa sistem manajemen basis data SQL DuckDB telah dikompromikan. Pembaruan ini juga menunjukkan bahwa eksploitasi ini “tampaknya merupakan kompromi npm terbesar dalam sejarah,” menyoroti skala dan ruang lingkup serangan yang mengkhawatirkan.
“Para penyerang telah menyadari bahwa mengkompromikan satu paket atau ketergantungan dapat memberi mereka akses ke ribuan lingkungan sekaligus,” kata peneliti Wiz Research kepada Decrypt.
Peningkatan Insiden Serupa
Beberapa bulan terakhir telah menyaksikan banyak insiden serupa, termasuk penyisipan permintaan tarik berbahaya ke dalam ekstensi ETHcode Ethereum pada bulan Juli, yang mendapatkan lebih dari 6.000 unduhan. “Ekosistem npm khususnya telah menjadi target yang sering karena popularitasnya dan cara pengembang bergantung pada ketergantungan transitive,” kata Wiz Research.
Pentingnya Perlindungan Jalur Pengembangan
Menurut Wiz, insiden terbaru ini memperkuat kebutuhan untuk melindungi jalur pengembangan, dengan organisasi didorong untuk mempertahankan visibilitas di seluruh rantai pasokan perangkat lunak, sambil juga memantau perilaku paket yang tidak biasa. Ini tampaknya adalah apa yang banyak organisasi dan entitas lakukan dalam kasus eksploitasi Qix, yang terdeteksi dalam waktu dua jam setelah publikasi.
Deteksi cepat adalah salah satu alasan utama mengapa kerusakan finansial dari eksploitasi ini tetap terbatas. Namun, Wiz Research menyarankan ada faktor lain yang berperan. “Beban yang ditargetkan dirancang secara sempit untuk menargetkan pengguna dengan kondisi tertentu, yang kemungkinan mengurangi jangkauannya,” kata mereka. Para pengembang juga lebih sadar akan ancaman semacam ini, tambah peneliti Wiz, dengan banyak yang memiliki perlindungan untuk menangkap aktivitas mencurigakan sebelum menyebabkan kerusakan serius.
“Selalu mungkin kita akan melihat laporan dampak yang tertunda, tetapi berdasarkan apa yang kami ketahui hari ini, deteksi cepat dan upaya penanganan tampaknya telah membatasi keberhasilan penyerang,” kata mereka.
