Credit image: Freepix
Paket Software Palsu Diunduh 275 Ribu Kali – Sebuah operasi serangan siber yang menargetkan akun-akun pengembang telah berhasil menyebarkan 60 malicious Ruby gems (paket perangkat lunak berbahaya)
Yang telah diunduh lebih dari 275.000 kali sejak Maret 2023. Paket-paket ini berisi kode berbahaya yang mampu mencuri kredensial.
Serangan ini terungkap berkat penelitian para pakar keamanan siber. Mereka melaporkan bahwa sasaran utama dari serangan ini adalah pengguna yang memakai alat otomatisasi untuk platform populer seperti Instagram, TikTok, Twitter/X, Telegram, Naver, WordPress, dan Kakao.
|
Baca juga: Privasi Data di Media Sosial |
Bagaimana Serangan Ini Bekerja?
RubyGems adalah pengelola paket resmi untuk bahasa pemrograman Ruby, serupa dengan npm untuk JavaScript atau PyPI untuk Python.
Pelaku memanfaatkan platform ini dengan mengunggah paket-paket berbahaya di bawah berbagai nama pengguna (alias), seperti zon, nowon, kwonsoonje, dan soonje. Taktik ini digunakan untuk menyamarkan aktivitas mereka dan membuatnya lebih sulit dilacak.
Paket-paket berbahaya ini sering kali menggunakan nama yang menipu (typosquatted) atau meniru alat otomatisasi yang sah. Beberapa contohnya:
- Otomator WordPress: wp_posting_duo, wp_posting_zon
- Bot Telegram: tg_send_duo, tg_send_zon
- Alat SEO: backlink_zon, back_duo
- Peniru Platform Blog: nblog_duo, nblog_zon, tblog_duopack
- Alat Interaksi Naver Café: cafe_basics[_duo], cafe_buy[_duo]
Mekanisme Pencurian Kredensial
Meskipun paket-paket ini menampilkan antarmuka pengguna grafis (GUI) yang tampak sah dan berfungsi sesuai iklan, di balik layar, mereka bertindak sebagai alat phising.
Ketika pengguna memasukkan kredensialnya (nama pengguna dan kata sandi), data tersebut dieksfiltrasi ke alamat command-and-control (C2) yang sudah tertanam di dalam kode, seperti programzon[.]com, appspace[.]kr, dan marketingduo[.]co[.]kr.
|
Baca juga: Puluhan Ekstensi Firefox Ancam Dompet Kripto |
Data yang dicuri tidak hanya mencakup nama pengguna dan kata sandi dalam bentuk teks biasa, tetapi juga alamat MAC perangkat untuk identifikasi, serta nama paket untuk melacak keberhasilan kampanye serangan.
Dalam beberapa kasus, paket-paket ini bahkan menampilkan pesan palsu tentang keberhasilan atau kegagalan login, padahal tidak ada koneksi nyata ke layanan yang dituju.
Para peneliti menemukan bahwa data kredensial yang dicuri dari paket-paket ini muncul di pasar darknet berbahasa Rusia, yang mengindikasikan bahwa data tersebut dijual.
Langkah-Langkah Pencegahan
Serangan rantai pasokan (supply chain attacks) yang menargetkan repositori perangkat lunak seperti RubyGems bukanlah hal baru. Para pengembang disarankan untuk:
- Periksa kode dari perpustakaan yang diunduh untuk mencari bagian-bagian yang mencurigakan atau di-obfuscate.
- Pertimbangkan reputasi dan riwayat perilisan pengembang atau penerbit paket.
- Kunci dependensi pada versi paket yang sudah terbukti aman.
Saat ini, setidaknya 16 dari 60 paket berbahaya tersebut masih tersedia, meskipun semuanya telah dilaporkan kepada tim RubyGems untuk dihapus. Ini menunjukkan pentingnya kewaspadaan dalam mengelola dependensi perangkat lunak.
Sumber berita:
