Credit image: Dreamina
Malware Ini Cacing Raksasa di Film Dune – Baru-baru ini, sebuah malware yang dapat bereplikasi sendiri, dijuluki “Shai-hulud,” ditemukan. Nama malware ini terinspirasi dari cacing pasir raksasa dalam novel fiksi ilmiah Dune.
Malware ini menjadi perhatian karena kemampuannya menyebar ke ratusan komponen open source, mencuri kredensial, dan menginfeksi software lain tanpa banyak intervensi dari penyerang.
Menurut analisis, Shai-hulud pertama kali terdeteksi pada 15 September. Operasi ini memiliki beberapa kesamaan dengan serangan yang terjadi pada awal bulan ini, di mana akun Node Packet Manager (NPM) dari pengembang terkemuka, Qix, diretas.
Pada serangan itu, penyerang meracuni 18 aplikasi populer yang dikelola oleh Qix, yang memiliki lebih dari 2 miliar unduhan mingguan, dengan malware pencuri crypto. Serangan tersebut berhasil untuk sementara waktu, namun dapat diatasi dengan cepat.
Masih belum jelas apakah kampanye Shai-hulud akan bernasib sama, tetapi tanda-tanda awalnya sangat mengkhawatirkan.
|
Baca juga: Kampanye Phising Global Sebar Malware Melalui Email |
Skema Replikasi Shai-hulud
Shai-hulud adalah malware pencuri informasi (info-stealing malware) yang menginfeksi komponen open source. Setelah berhasil menginfeksi, ia menggunakan akses tersebut untuk mempublikasikan versi yang telah diracuni dan kemudian memanen akun NPM dari pengembang lain yang terkena dampak.
Menurut analisis, cacing ini memulai perjalanannya dari dalam komponen yang telah disusupi. Ketika komponen tersebut digunakan dalam pengembangan software lain.
Dan software yang telah diracuni ini diunduh oleh pengguna yang tidak curiga, malware ini akan aktif. Ia akan menjalankan infostealer yang menargetkan rahasia (secrets), token, kredensial, dan data sensitif lainnya di lingkungan pengguna.
Dengan akses tersebut, Shai-hulud kemudian masuk ke akun NPM korban dan menginstal dirinya sendiri ke dalam proyek-proyek yang dikelola oleh pengguna tersebut.
Setelah akun pengembang NPM disusupi, worm ini akan mencari paket-paket lain yang dikelola oleh pengembang tersebut. Kemudian, ia membuat versi baru dari setiap paket tersebut dengan menyuntikkan dirinya sendiri ke dalamnya.
Setiap paket yang baru dibuat dimodifikasi dengan aksi postinstall yang akan mengeksekusi file berbahaya bundle.js ketika pengguna yang tidak curiga mengunduh paket yang telah disusupi.
Proses ini berulang terus-menerus seiring dengan Shai-hulud menemukan pengembang baru untuk diinfeksi, dan kemudian menggunakannya untuk menyebar lebih jauh.
Paket software yang telah diracuni ini kemudian digunakan dalam pengembangan software lain, dan siklusnya terus berlanjut.
Pasien Nol
Meskipun malware ini utamanya menargetkan token NPM, GitHub, AWS, dan GCP, ia juga menginstal alat pencari rahasia open source Trufflehog ke dalam lingkungan yang disusupi.
Shai-hulud juga akan mengambil repositori pribadi (private repositories) dan mencoba membuat salinan publiknya. Hal ini kemungkinan adalah upaya untuk mendapatkan akses ke rahasia yang mungkin hardcoded dalam repositori tersebut,
Selain itu juga untuk mencuri kode sumber yang dikandungnya. Kode sumber ini kemudian dapat digunakan untuk menemukan kerentanan potensial.
Peneliti menduga bahwa “pasien nol” yang paling mungkin pada saat ini adalah sebuah paket yang dikenal sebagai “rxnt-authentication. Meskipun perusahaan tidak yakin bagaimana paket tersebut disusupi.
Para peneliti menyarankan bahwa serangan rekayasa sosial (social engineering) bisa menjadi penyebabnya, mengingat bagaimana Qix dan pengembang lainnya diretas dalam serangan serupa baru-baru ini.
Dalam analisis terpisah, peneliti menilai bahwa Shai-hulud terkait dengan serangan supply chain Nx/S1ngularity baru-baru ini.
Dimana pencurian token GitHub awal memungkinkan rantai kompromi yang lebih luas dan kebocoran repositori yang sebelumnya bersifat pribadi.
|
Baca juga: Taktik Canggih Malware VShell |
Dampak dan Mitigasi Shai-hulud
ReversingLabs menyatakan bahwa meskipun sulit untuk menentukan siapa yang akan disusupi selanjutnya, kampanye worm ini telah mengklaim ratusan paket NPM.
Berdasarkan cara kerja fungsionalitas migrasi repositori, mereka dapat menemukan sekitar 700 repositori yang kemungkinan besar terkena dampak.
Mengingat betapa luasnya penggunaan banyak komponen open source, banyak pihak yang berbeda menjadi terpengaruh. Di antara mereka ada:
- Pendiri dan CTO perusahaan teknologi.
- Perusahaan yang menyediakan layanan pengembangan perangkat lunak.
- Pengembang yang bekerja untuk organisasi nirlaba.
- Pimpinan teknologi di perusahaan yang membuat perangkat keras dan perangkat lunak perjudian.
- Pengembang di perusahaan yang berfokus pada AI.
- Vendor keamanan termasuk vendor Endpoint Detection and Response (EDR) terkemuka.
- Pengembang pelajar.
- Dan lainnya yang mengandalkan NPM setiap hari untuk membuat perangkat lunak,” tulis Zanki.
Pengembang yang ingin memeriksa apakah mereka terkena dampak dapat melakukannya dengan cara:
- Pergi ke halaman aktivitas akun pengguna NPM mereka.
- Mencari repositori baru yang memiliki deskripsi “Shai-Hulud Migration.”
- Mencari branch yang baru dibuat dengan nama “shai-hulud.”
Operasi Shai-hulud lebih berbahaya daripada yang terjadi pada Qix karena tidak ada cara untuk mengetahui bagaimana rahasia yang bocor dapat disalahgunakan, dan tidak ada cara untuk mengetahui apa yang akan dilakukan penyerang selanjutnya.
Sumber berita:
