Peringatan Keamanan Darurat: Serangan Rantai Pasokan Lintas Registri
Lab keamanan siber SlowMist telah mengeluarkan peringatan keamanan darurat dengan kode SM-2026-352284. Menurut pernyataan resmi, serangan rantai pasokan lintas registri yang aktif telah terdeteksi, menargetkan kreator produk Web3 dan AI. Peretas menyuntikkan lebih dari 34 paket berbahaya dan 384 versi terkait ke dalam repositori terbesar, termasuk npm, PyPI, dan Crates.io, secara langsung menargetkan pengembang di ekosistem Solana, DeFi, dan AI.
Konteks Ancaman dan Perubahan Taktik
Insiden ini terjadi pada latar belakang rekor anti-April, ketika sektor DeFi kehilangan $635 juta yang belum pernah terjadi sebelumnya dalam 28 peretasan. Meskipun skala eksploitasi smart contract langsung menurun di Mei, telemetri SlowMist menunjukkan perubahan fundamental dalam taktik penyerang. Aktor ancaman telah mengalihkan fokus mereka dari menyerang server yang dilindungi ke kompromi diam-diam perangkat pribadi insinyur.
Mekanisme Malware TrapDoor
Analisis SlowMist menunjukkan bahwa TrapDoor dirancang untuk kompromi penuh workstation pengembang. Malware mencuri:
Crypto wallets, token cloud seperti kredensial AWS dan GitHub, serta kunci akses, kemudian mengirimkannya ke alamat yang dikendalikan oleh penyerang.
Secara konseptual, skema ini mengulangi logika worm npm yang terkenal, “Mini Shai-Hulud”. Untuk mempertahankan persistensi tersembunyi di sistem, payload menulis dirinya langsung ke file konfigurasi asisten AI seperti .cursorrules dan CLAUDE.md, sambil juga bersembunyi di dalam Git hooks dan skrip otomasi.
Strategi Penyamaran dan Vektor Infeksi
Di repositori, perangkat lunak menyamar sebagai plugin AI dan utilitas build untuk Sui dan Move. Insiden ini diperburuk oleh tren “vibe coding”, di mana insinyur merakit proyek melalui prompt dan secara membabi buta menghubungkan puluhan perpustakaan bersarang. Akibatnya, agen AI secara otomatis mengunduh kode berbahaya ke mesin di mana editor pintar memiliki akses langsung ke file konfigurasi lokal.
Rekomendasi Respons Darurat
Mengingat status kritis ancaman ini, SlowMist menginstruksikan tim untuk segera:
Menghapus paket yang terpengaruh, mengisolasi sistem yang terinfeksi, menyimpan log, dan meluncurkan protokol remediasi tiga tahap.
