Credit image: Freepix
Paket NPM dan Go Berbahaya Ditemukan Mengancam Data Pengembang – Dunia pengembangan perangkat lunak modern sangat bergantung pada repositori publik seperti NPM (untuk JavaScript) dan Go packages.
Namun, para penjahat siber kini menyusup ke ekosistem ini dengan paket-paket berbahaya yang menyamar sebagai alat pengembangan yang sah, dan berpotensi menghapus seluruh data dari komputer pengembang.
Baru-baru ini, peneliti keamanan dari Socket menemukan dua paket NPM berbahaya yang secara khusus menargetkan pengembang WhatsApp dan satu set paket Go yang menyerang sistem pengembang secara umum.
|
Baca juga: Cara Melindungi Backup Anda dari Serangan |
Ancaman pada Ekosistem JavaScript (NPM)
Dua paket NPM yang berbahaya ini menyamar sebagai pustaka (library) untuk mengembangkan bot dan alat otomatisasi bagi WhatsApp Business API.
Sejak dirilis bulan lalu, kedua paket bernama naya-flore dan nvlore-hsc ini telah diunduh lebih dari 1.100 kali.
Meskipun Socket telah melaporkan paket-paket ini, keduanya masih tersedia di repositori NPM. Selain itu, pengembang yang sama juga merilis paket lain yang saat ini belum berbahaya, tetapi berpotensi disuntikkan kode berbahaya kapan saja melalui pembaruan.
Cara Kerja Penghapus Data
Kedua paket ini berisi kode yang dirancang untuk menghapus data secara destruktif:
- Verifikasi Target: Kode di dalam paket akan mengambil daftar nomor telepon Indonesia dari sebuah file JSON yang tersimpan di GitHub.
- Mekanisme Kill Switch: Nomor-nomor telepon dalam daftar tersebut berfungsi sebagai tombol pengaman (kill switch). Jika nomor korban ada dalam daftar, kode berbahaya tidak akan dijalankan.
- Penghapusan Data: Namun, untuk semua target yang valid di luar daftar itu, kode akan mengeksekusi perintah rm -rf *, sebuah perintah Linux yang akan menghapus semua file secara rekursif dari direktori kerja saat ini. Ini bisa mengakibatkan hilangnya kode dan data penting pengembang.
Selain itu, para peneliti juga menemukan kode untuk mengeksfiltrasi data (mencuri informasi), seperti nomor telepon korban dan ID perangkat.
Meskipun fungsi ini saat ini dinonaktifkan (commented out), bukan tidak mungkin penyerang akan mengaktifkannya di masa depan.
|
Baca juga: Pembayaran Seluler dan Tantangan Keamanan |
Ancaman pada Ekosistem Go
Dalam waktu yang bersamaan, Socket juga menemukan 11 paket Go berbahaya. Paket-paket ini menggunakan teknik obfuscation (penyembunyian kode) untuk secara diam-diam menjalankan muatan berbahaya dari jarak jauh (remote payload) saat program dijalankan.
Cara Kerja Paket Go Berbahaya
Paket-paket ini menyasar baik server Linux maupun komputer Windows:
- Eksekusi Diam-diam: Paket-paket ini akan membuat shell (lingkungan baris perintah) di sistem korban.
- Mengunduh Muatan: Shell ini kemudian akan mengunduh skrip atau file executable berbahaya dari domain mencurigakan (.icu atau .tech).
- Serangan in Memory: Muatan ini kemudian dijalankan langsung di memori sistem, membuatnya sulit dideteksi oleh program antivirus tradisional.
Sebagian besar paket Go berbahaya ini adalah contoh typosquatting, di mana penyerang menggunakan nama yang sangat mirip dengan paket populer, berharap pengembang melakukan salah ketik saat mengunduh.
Daftar Paket Go Berbahaya yang Ditemukan:
- github.com/stripedconsu/linker
- github.com/agitatedleopa/stm
- github.com/expertsandba/opt
- github.com/wetteepee/hcloud-ip-floater
- github.com/weightycine/replika
- github.com/ordinarymea/tnsr_ids
- github.com/ordinarymea/TNSR_IDS
- github.com/cavernouskina/mcp-go
- github.com/lastnymph/gouid
- github.com/sinfulsky/gouid
- github.com/briefinitia/gouid
|
Baca juga: Panduan Menghapus dan Mencegah Malware pada iPhone |
Langkah Perlindungan yang Harus Diambil Pengembang
Temuan ini adalah pengingat penting bagi para pengembang untuk selalu waspada, bahkan saat menggunakan pustaka dari repositori publik.
- Verifikasi Paket: Selalu periksa dengan saksama nama paket yang Anda unduh, terutama saat ada peringatan salah ketik.
- Audit Dependensi: Gunakan alat keamanan untuk memindai dependensi atau paket yang Anda gunakan di proyek Anda.
- Periksa Kode Sumber: Untuk paket yang mencurigakan, ada baiknya untuk memeriksa kode sumbernya secara manual sebelum digunakan.
- Isolasi Lingkungan Pengembangan: Pertimbangkan untuk menggunakan lingkungan virtual atau container untuk pengembangan, yang dapat membatasi kerusakan jika ada paket berbahaya yang terinstal.
Dengan meningkatnya jumlah serangan siber yang menargetkan ekosistem pengembang, kewaspadaan dan praktik keamanan yang baik sangat penting untuk melindungi data dan proyek Anda.
Sumber berita:
