Image credit: magnific
73 Ekstensi Kloning Berbahaya di OpenVSX – Gelombang baru dari operasi serangan GlassWorm kini tengah membidik ekosistem OpenVSX dengan mengerahkan 73 ekstensi “tidur” (sleeper extensions).
Ekstensi tersebut berubah menjadi berbahaya setelah menerima pembaruan, teknik ini menunjukkan pergeseran strategi penyerang untuk menghindari deteksi dini oleh sistem keamanan.
Saat pertama kali diunggah, ekstensi-ekstensi ini tampak bersih dan tidak berbahaya (benign). Namun, melalui pembaruan di tahap berikutnya, penyerang menyuntikkan muatan berbahaya (payload) untuk mengungkap niat asli mereka.
Hingga saat ini, enam ekstensi telah diaktifkan untuk mengirimkan malware, sementara puluhan lainnya masih dalam status dorman namun sangat mencurigakan.
|
Baca juga: Shadow IT Ancaman di Balik Layar |
Evolusi GlassWorm
GlassWorm merupakan operasi serangan rantai pasok (supply chain attack) berkelanjutan yang pertama kali terdeteksi pada Oktober lalu.
Awalnya, mereka menggunakan karakter Unicode yang tidak terlihat untuk menyembunyikan kode pencuri kredensial.
Kini, GlassWorm telah merambah ke berbagai ekosistem termasuk repositori GitHub, paket npm, hingga Visual Studio Code Marketplace.
Pada gelombang terbaru di April 2026 ini, penyerang menggunakan taktik yang lebih licin:
- Kloning Ekstensi Sah: Peretas menyalin tampilan ekstensi populer, mulai dari ikon, nama, hingga deskripsi, untuk menipu pengembang yang kurang teliti.
- Pemuat Tipis (Thin Loaders): Alih-alih membawa malware di dalam paket awal, ekstensi ini hanya berfungsi sebagai pengunduh yang akan mengambil kode jahat melalui beberapa metode, seperti mengunduh paket VSIX sekunder dari GitHub atau memuat modul .node yang terkompilasi saat dijalankan.
- Obfuskasi JavaScript: Beberapa varian menggunakan kode JavaScript yang sangat kabur untuk mendekode URL unduhan muatan berbahaya secara runtime.
Target dan Dampak Serangan
Meskipun detail teknis mengenai muatan terbaru belum diungkap sepenuhnya, pola serangan GlassWorm sebelumnya berfokus pada pencurian aset digital yang sangat sensitif, antara lain:
- Dompet mata uang kripto.
- Kredensial pengembang dan token akses.
- Kunci SSH.
- Data lingkungan pengembangan (developer environment data).
Skala serangan ini sempat meluas pada pertengahan Maret lalu hingga memengaruhi ratusan repositori, namun kolaborasi berbagai tim peneliti berhasil memblokir sebagian besar aktivitas tersebut sebelum dampak kerusakan meluas lebih jauh.
|
Baca juga: Mengapa MSP Wajib Adopsi Layanan MDR |
Langkah Penjagaan bagi Pengembang
Mengingat taktik “ekstensi tidur” ini sangat sulit dideteksi oleh pemindaian statis biasa, para pengembang disarankan untuk mengambil langkah-langkah pengamanan berikut:
- Verifikasi Penerbit Ekstensi: Selalu periksa nama penerbit (publisher) dan pengenal unik (unique identifier) ekstensi sebelum memasangnya. Jangan hanya mengandalkan kemiripan visual atau jumlah unduhan.
- Audit Lingkungan Pengembangan: Jika Anda merasa telah memasang salah satu dari 73 ekstensi yang dicurigai, segera bersihkan lingkungan kerja Anda dan lakukan instalasi ulang jika diperlukan.
- Rotasi Rahasia (Secret Rotation): Ganti semua kata sandi, token akses, kunci API, dan kunci SSH yang mungkin tersimpan di perangkat pengembangan Anda.
- Pantau Aktivitas Jaringan: Gunakan alat pemantauan untuk mendeteksi jika editor kode Anda mencoba mengunduh paket tambahan dari domain yang tidak dikenal atau mencurigakan.
- Gunakan solusi keamanan yang dapat memberikan perlindungan ekstra dengan memantau aktivitas proses dan perilaku skrip yang mencoba memuat modul berbahaya atau melakukan koneksi keluar yang tidak sah dari aplikasi pengembang.
Kewaspadaan pada Ekosistem Terbuka
Kampanye GlassWorm membuktikan bahwa ekosistem terbuka seperti OpenVSX dan GitHub tetap menjadi target utama karena kepercayaan tinggi yang diberikan oleh para pengembang.
Di tahun 2026, sebuah ekstensi yang tampak aman hari ini bisa saja menjadi pintu masuk peretas besok melalui pembaruan otomatis.
Disiplin dalam memverifikasi setiap alat yang digunakan dan selalu memperbarui pengetahuan mengenai tren ancaman terbaru adalah kunci utama agar lingkungan pengembangan Anda tetap aman dari sabotase digital yang semakin cerdik ini.
Sumber berita:
