Credit image: Freepix
Hacker Pakai Nama IndonesianFoods untuk Scam – Para peneliti keamanan siber menarik perhatian pada operasi spam berskala besar yang telah membanjiri npm registry (repositori paket software terbesar di dunia untuk JavaScript).
Dengan puluhan ribu paket palsu sejak awal tahun 2024. Operasi ini, yang diduga bermotif finansial, menunjukkan ancaman baru yang berfokus pada kuantitas dan daya tahan.
Operasi terkoordinasi ini telah menerbitkan sebanyak 67.579 paket palsu, menurut peneliti keamanan yang menyelidiki temuan kasus ini di dunia maya.
Tujuan akhirnya tidak biasa, yaitu membanjiri npm registry dengan paket sampah alih-alih berfokus pada pencurian data atau perilaku berbahaya lainnya.
1. Mengenal Cacing IndonesianFoods
Mekanisme penyebaran yang menyerupai cacing (worm-like propagation) dan skema penamaan yang khas yang menggunakan nama-nama makanan dan istilah Indonesia.
Sehingga kemudian, membuat operasi ini dijuluki IndonesianFoods. Dan dari operasi ini diketahui paket-paket palsu ini menyamar sebagai proyek Next.js.
- Durasi Panjang: Para penyerang telah merencanakan dan menjalankan operasi ini selama hampir dua tahun, menunjukkan upaya terkoordinasi yang berkelanjutan.
- Skala: Ribuan paket sampah ini berhasil bertahan dalam ekosistem selama periode yang lama.
- Akun Terkoordinasi: Paket-paket ini diterbitkan dari jaringan kecil yang terdiri dari belasan akun npm yang berbeda, menunjukkan operasi yang terorganisir.
|
Baca juga: Ancaman Rantai Pasok Mengintai UMKM |
2. Cara Kerja Cacing Dormant (Tidur)
Yang membuat ancaman ini sangat mengkhawatirkan adalah cara kerjanya yang menghindari deteksi otomatis.
A. Mekanisme Eksekusi Manual
Cacing (worm) ini terletak di dalam satu file JavaScript (misalnya, “auto.js” atau “publishScript.js”) di setiap paket, tetapi ia tetap tidur (dormant) dan tidak akan mengeksekusi secara otomatis saat instalasi atau sebagai bagian dari hook pasca-instalasi.
- Penghindaran Deteksi: Desain payload yang tidur ini dimaksudkan untuk menghindari pemindaian keamanan otomatis. Dengan membutuhkan eksekusi manual alih-alih “autorun,” penyerang mengurangi peluang terdeteksi oleh scanner keamanan dan sistem sandboxing.
- Potensi Rekayasa Sosial: Ada kemungkinan hacker mendorong korban untuk menjalankan script ini secara manual, misalnya melalui postingan blog palsu, tutorial, atau entri README yang menginstruksikan pengguna menjalankan perintah node auto.js untuk “menyelesaikan penyiapan” atau “memperbaiki masalah build.”
B. Proses Flooding Tanpa Henti
Eksekusi manual script ini memicu serangkaian tindakan dalam loop tanpa batas:
- Modifikasi package.json: Menghapus <“private”: true> dari file package.json (pengaturan yang biasanya mencegah publikasi yang tidak disengaja).
- Pembuatan Nama Baru: Membuat nama paket acak menggunakan kamus internal dan memberikan nomor versi acak untuk melewati deteksi duplikat npm.
- Publikasi Otomatis: Paket spam kemudian diunggah ke npm menggunakan perintah npm publish.
Seluruh proses ini berulang setiap 7 hingga 10 detik. Artinya, penyerang dapat mendorong sekitar 12 paket per menit atau 17.000 paket per hari.
3. Motivasi Finansial di Balik Serangan Spam
Meskipun sekilas tampak seperti lelucon, kampanye ini diduga kuat bermotif finansial:
- Eksploitasi Protokol TEA: Analisis menunjukkan beberapa paket yang dikendalikan penyerang menyertakan file tea.yaml yang mencantumkan beberapa akun TEA. Protokol Tea adalah kerangka kerja decentralized yang dirancang untuk memberikan imbalan kepada pengembang open-source atas kontribusi software mereka dalam bentuk token TEA.
- Inflasi Skor Dampak: Penyerang kemungkinan menggunakan kampanye ini sebagai vektor monetisasi dengan secara artifisial meningkatkan skor dampak dan mengumpulkan token TEA melalui publikasi paket massal ini.
|
Baca juga: Memanfaatkan AI Melawan Ancaman berbasis AI |
4. Risiko dan Implikasi Jangka Panjang
Meskipun malware ini tidak secara langsung mencuri kredensial atau menyuntikkan kode, dampaknya terhadap ekosistem software sangat signifikan:
- Pemborosan Sumber Daya: Membanjiri npm registry dengan paket sampah membuang-buang sumber daya infrastruktur.
- Kekacauan Rantai Pasok: Mengotori hasil pencarian dan menciptakan risiko rantai pasok jika pengembang secara tidak sengaja menginstal paket-paket berbahaya ini.
- Jaringan Replikasi (Worm-like Spreading): Paket-paket spam ini saling merujuk sebagai dependencies (ketergantungan), menciptakan jaringan yang mereplikasi diri. Ketika seorang pengguna menginstal satu paket spam, npm akan mengambil seluruh pohon ketergantungan, yang secara eksponensial membebani bandwidth registry.
5. Pelajaran bagi Keamanan Siber
Kasus IndonesianFoods menyoroti blind spot baru dalam keamanan:
- Kegagalan Pemindai Otomatis: Pemindai keamanan tradisional biasanya akan menandai paket yang menjalankan kode berbahaya selama instalasi (melalui lifecycle hooks). Dalam kasus ini, mereka tidak menemukan apa pun karena tidak ada yang tereksekusi saat instalasi.
- Pentingnya Analisis Kontekstual: Jumlah paket yang sangat besar menunjukkan bahwa pemindai keamanan di masa depan harus menganalisis sinyal kontekstual dan pola publikasi, bukan hanya perilaku runtime langsung.
Meskipun GitHub telah mengonfirmasi bahwa mereka telah menghapus paket-paket dan akun yang melanggar kebijakan, kasus ini membuktikan betapa mudahnya mengganggu rantai pasok software terbesar di dunia hanya dengan otomatisasi dan skala yang masif.
Sumber berita:
