Serangan Rantai Pasokan JavaScript
Sebuah serangan rantai pasokan JavaScript yang besar telah mengkompromikan ratusan paket perangkat lunak, termasuk setidaknya 10 paket yang digunakan secara luas di seluruh ekosistem cryptocurrency. Penelitian terbaru dari perusahaan keamanan siber Aikido Security mengungkapkan bahwa lebih dari 400 paket menunjukkan tanda-tanda infeksi dengan malware bernama “Shai Hulud”. Malware ini dapat mereplikasi dirinya sendiri dan digunakan dalam serangan rantai pasokan perpustakaan NPM JavaScript yang sedang berlangsung. Charlie Eriksen, seorang peneliti di Aikido Security, menyatakan bahwa ia telah memvalidasi setiap deteksi untuk menghindari hasil positif palsu.
Paket Terkait Cryptocurrency yang Terpengaruh
Banyak paket yang terkait dengan cryptocurrency yang terpengaruh menerima puluhan ribu unduhan per minggu dan memiliki banyak paket lain yang bergantung padanya untuk berfungsi. Dalam sebuah postingan di X yang diterbitkan lebih awal hari ini, Eriksen juga memperingatkan tim Ethereum Name Service (ENS) bahwa beberapa paket mereka terpengaruh.
Tren Serangan Rantai Pasokan
Shai Hulud merupakan bagian dari tren serangan rantai pasokan yang lebih luas. Pada awal September, serangan NPM terbesar yang dilaporkan hingga saat ini telah mencuri $50 juta dalam bentuk cryptocurrency. Amazon Web Services mencatat bahwa serangan pertama ini diikuti oleh penyebaran cacing Shai Hulud secara otonom hanya seminggu kemudian. Sementara serangan sebelumnya secara langsung menargetkan cryptocurrency untuk mencuri aset, Shai Hulud adalah malware pencuri kredensial yang bersifat umum dan menyebar secara otonom di seluruh infrastruktur pengembang. Jika lingkungan yang terinfeksi mengandung kunci dompet, malware ini akan mencurinya sebagai “rahasia” seperti kredensial lainnya.
Paket yang Terpengaruh
Paket cryptocurrency mana yang terpengaruh? Di antara semua paket yang terpengaruh, setidaknya 10 secara khusus terkait dengan industri cryptocurrency, dan hampir semuanya terhubung dengan ENS, sebuah layanan nama alamat yang dapat dibaca manusia. Di antara paket yang terpengaruh adalah content-hash ENS, yang memiliki hampir 36.000 unduhan mingguan, serta 91 paket perangkat lunak yang bergantung padanya. Paket lain yang terpengaruh termasuk:
- address-encoder dengan lebih dari 37.500 unduhan mingguan
- ensjs (lebih dari 30.000 unduhan mingguan)
- ens-validation (1.750 unduhan mingguan)
- ethereum-ens (12.650 unduhan mingguan)
- ens-contracts (hampir 3.100 unduhan mingguan)
Selain itu, paket terkait cryptocurrency yang tidak terhubung dengan ENS, bernama crypto-addr-codec, juga telah dikompromikan, dengan hampir 35.000 unduhan.
Paket Non-Crypto yang Terpengaruh
Paket non-crypto yang populer yang terpengaruh termasuk beberapa yang ditawarkan oleh platform otomatisasi perusahaan Zapier, termasuk satu paket dengan lebih dari 40.000 unduhan per minggu dan banyak yang tidak jauh di belakang. Dalam sebuah postingan selanjutnya, Eriksen menunjuk pada paket lain yang terinfeksi, beberapa di antaranya memiliki hampir 70.000 unduhan mingguan, dan ke paket lain yang melihat lebih dari 1,5 juta unduhan mingguan.
“Lingkup serangan Shai Hulud baru ini sangat besar; kami masih bekerja melalui antrean untuk mengonfirmasi semuanya,”
tulis Eriksen di X.
“Ini akan membuat serangan sebelumnya terlihat seperti tidak ada apa-apanya.”
Temuan Peneliti
Peneliti di perusahaan keamanan siber Wiz mengklaim telah menemukan lebih dari 25.000 repositori yang terpengaruh di sekitar 350 pengguna unik, dengan 1.000 repositori baru ditambahkan secara konsisten setiap 30 menit dalam beberapa jam terakhir. Perusahaan merekomendasikan penyelidikan dan perbaikan segera untuk setiap lingkungan yang menggunakan npm.
