Image credit: Freepix
109 Repositori GitHub Palsu Penyebar Malware – Penyebaran malware skala besar baru saja terungkap, melibatkan 109 repositori GitHub palsu yang dirancang untuk menjebak pengguna agar mengunduh dua alat berbahaya bernama SmartLoader dan StealC.
Operasi ini dibangun dengan sangat teliti menggunakan versi kloning dari proyek sumber terbuka (open-source) yang sah, sehingga sulit bagi pengguna biasa untuk membedakan mana yang asli dan mana yang palsu.
Aktor ancaman di balik operasi ini menyalin proyek GitHub asli, menerbitkannya kembali di bawah akun yang berbeda, dan mengganti dokumentasi asli dengan tombol unduh yang mengarah ke file ZIP berbahaya.
File ZIP tersebut disembunyikan jauh di dalam struktur folder repositori agar terlihat seperti paket rilis biasa. Kode sumber dari proyek kloning tersebut sebagian besar dibiarkan utuh, yang membuat repositori palsu ini tampak kredibel pada pandangan pertama.
|
Baca juga: Evolusi Phising Dulu vs Sekarang |
Mekanisme Penipuan dan Distribusi
Hingga 12 April 2026, peneliti mengidentifikasi 109 repositori berbahaya yang tersebar di 103 akun GitHub terpisah.
Operasi ini menunjukkan tanda-tanda kontrol terpusat dan otomasi, di mana tautan unduhan diperbarui secara massal dalam kelompok tertentu.
Hal ini menunjukkan adanya operasi yang dikelola dengan ketat oleh satu aktor ancaman atau kelompok kecil.
Dampaknya melampaui pengguna individu. Karena GitHub sangat dipercaya oleh pengembang, siswa, dan profesional keamanan, repositori palsu yang muncul di samping repositori asli dalam hasil pencarian membawa kredibilitas alami.
Aktor ancaman bahkan menambahkan istilah SEO yang tidak terkait pada deskripsi repositori untuk meningkatkan visibilitas dan menarik lebih banyak korban.
Cara Kerja SmartLoader Setelah Infeksi
Begitu korban mengunduh dan mengekstrak file ZIP, sebuah skrip batch satu baris akan meluncurkan juru bahasa LuaJIT, yang kemudian menjalankan skrip Lua yang sangat terselubung yang dikenal sebagai SmartLoader.
Dari perspektif korban, tidak ada hal mencurigakan yang muncul di layar karena malware ini menggunakan panggilan API Windows untuk segera menyembunyikan jendela konsolnya setelah dieksekusi.
SmartLoader kemudian melakukan serangkaian tugas teknis yang canggih:
Teknik “Dead Drop Resolver” Blockchain:
Untuk menemukan server perintah dan kontrol (C2) yang aktif tanpa menanamkan alamat permanen di dalam kode, SmartLoader melakukan kueri ke kontrak pintar blockchain Polygon (polygon.drpc.org).
Hal ini memungkinkan operator untuk mengganti infrastruktur mereka hanya dengan memperbarui entri di blockchain, tanpa harus membangun ulang malware.
Eksfiltrasi Data:
Setelah menemukan server, SmartLoader mengirimkan detail sidik jari inang dan tangkapan layar ke server C2 dalam bentuk permintaan POST multipart. Server kemudian merespons dengan instruksi dan tugas terenkripsi.
Persistensi Ganda:
Malware ini membangun persistensi melalui dua tugas terjadwal harian dengan nama yang menyamar sebagai proses sistem sah, seperti “AudioManager_ODM3”.
Satu tugas menjalankan salinan Lua yang disimpan di perangkat, sementara tugas lainnya mengunduh ulang tahap terenkripsi baru langsung dari repositori GitHub lain milik penyerang.
Eksekusi StealC di Memori:
SmartLoader juga mampu mendekripsi dan memuat muatan pencuri informasi (StealC) langsung ke dalam memori tanpa menulisnya ke cakram keras, guna menghindari deteksi pemindaian file.
|
Baca juga: Spiderman Serang Eropa Siap Ancam RI |
Langkah Penjagaan dan Navigasi Keamanan
Berdasarkan temuan dari operasi ini, tim keamanan dan pengguna individu perlu mengambil langkah-langkah perlindungan berikut:
- Selalu verifikasi sumber asli proyek GitHub sebelum mengunduh arsip apa pun. Prioritaskan rilis resmi (Official Releases) daripada file ZIP yang terkubur di dalam folder repositori.
- Awasi koneksi keluar ke titik akhir RPC blockchain seperti polygon.drpc.org, terutama dari proses non-peramban, karena ini merupakan indikator kuat dari perilaku dead drop resolver.
- Waspadai skrip yang diluncurkan secara massal yang merujuk pada file dengan ekstensi .txt atau .log yang berjalan dari jalur yang dapat ditulis pengguna seperti folder Downloads atau %TEMP%.
- Terapkan kontrol aplikasi yang memblokir juru bahasa (interpreters) yang tidak bertanda tangan agar tidak berjalan di luar direktori instalasi standar.
- Berikan peringatan pada pembuatan tugas terjadwal di mana aksinya mengarah ke eksekusi yang disimpan di bawah %LOCALAPPDATA%, terutama jika argumen baris perintahnya menyertakan domain raw.githubusercontent.com.
Sumber berita:
