Image credit: magnific
Eksploitasi Skrip Web via Browser Runtime – Lanskap keamanan siber di tahun 2026 menghadapi paradigma baru yang sangat mengkhawatirkan, serangan rekayasa sosial kini tidak lagi mengincar kelengahan manusia, melainkan mengincar rantai kepercayaan sistem digital.
Melalui bantuan Large Language Models (LLM) atau AI generatif, para penjahat siber kini mampu memproduksi ribuan varian domain palsu (typosquatting) dalam hitungan menit dan menyisipkannya langsung ke dalam skrip pihak ketiga (third-party scripts) yang sah pada situs web perusahaan.
Kondisi ini membuat tumpukan perangkat keamanan konvensional seperti Firewall, WAF, EDR, bahkan Kebijakan Keamanan Konten (CSP) menjadi “buta”.
Serangan tidak lagi membutuhkan kesalahan ketik URL dari pengguna atau peretasan server internal perusahaan; peretas cukup menumpangi rantai dependensi yang sudah dipercaya oleh sistem Anda.
Evolusi Serangan Typosquatting
Untuk memahami mengapa sistem pertahanan siber saat ini gagal mendeteksi ancaman ini, kita perlu melihat bagaimana taktik pemalsuan domain (typosquatting) telah berevolusi:
Fase 1 (Klasik)
Mengandalkan kelengahan individu dalam mengetik alamat situs web pada bilah peramban, seperti kesalahan ketik mematikan dari google.com menjadi goolge.com.
Skala dampak dari metode ini relatif kecil dan terlokalisasi karena keberhasilan serangan sepenuhnya bergantung pada faktor kebetulan dan kecerobohan pengguna internet umum secara personal.
Pada fase awal ini, penyerang bertindak pasif dengan hanya membeli domain-domain pelesetan tersebut dan menunggu hingga ada korban yang tersasar masuk ke dalam perangkap mereka.
Fase 2 (Suplai)
Menandai pergeseran taktik yang lebih agresif, di mana penyerang mulai menargetkan rantai pasok perangkat lunak dengan menyasar pustaka kode terbuka (open-source packages).
Melalui metode typosquatting nama paket di repositori publik seperti npm atau PyPI, penyerang membuat pustaka tiruan yang namanya sangat mirip dengan pustaka populer yang sering digunakan.
Serangan skala menengah ini berhasil mengelabui para pengembang (developer) dan menyusup ke dalam pipa otomatisasi pengembangan (Pipa CI/CD), sehingga kode berbahaya dapat ikut terpasang saat proyek aplikasi sedang dibangun.
Fase 3 (Era AI/2026)
Merupakan evolusi paling mutakhir dan berbahaya, di mana penyerang memanfaatkan kecerdasan buatan (AI) generatif untuk memproduksi ribuan varian domain mirip secara otomatis dalam hitungan menit.
Menggunakan teknik canggih seperti serangan Homograph yang menggabungkan karakter Latin, Sirilik, dan Yunani agar terlihat identik di layar peretas tidak lagi menunggu manusia melakukan kesalahan ketik.
Dalam fase ini, replika domain berbahaya berbiaya rendah tersebut disisipkan langsung ke dalam skrip pihak ketiga yang sah dan dieksekusi secara masif di sisi peramban pengguna (browser runtime).
Sehingga menciptakan ancaman otomatis berskala raksasa yang tidak terlihat oleh log server maupun perangkat keamanan tradisional.
|
Baca juga: Pacar AI Curi Data Intim |
Mengapa Solusi Keamanan Saat Ini “Buta”?
Banyak organisasi mengandalkan CSP (Content Security Policy) sebagai benteng utama pertahanan skrip halaman web mereka. Namun, CSP ibarat sebuah “daftar tamu” pesta, bukan pemantau perilaku tamu.
Jika sebuah skrip yang berasal dari domain yang sudah diizinkan (allowlisted) tiba-tiba dimodifikasi oleh peretas untuk:
- Membaca kolom input kartu pembayara.
- Mengeksfiltrasi data.
CSP akan tetap mengizinkannya karena sumbernya dianggap sah. CSP mengelola koneksi, bukan mengevaluasi eksekusi kode di memori peramban.
Selain itu, skrip berbahaya modern seperti Shai-Hulud sengaja dirancang untuk tetap tidur (dormant) saat melewati pemindaian otomatis di server. Kode tersebut menggunakan:
- Tteknik pengaburan (obfuscation) berbasis AI yang lolos uji linting.
- Meniru pustaka kompresi yang sah.
- Dan tidak memiliki kecocokan tanda tangan virus (signature) apa pun.
Lalu kemudian kode baru akan aktif secara dinamis saat dijalankan di peramban pengguna.
Pemantauan Perilaku Runtime
Untuk menutup celah keamanan ini, organisasi harus beralih dari sekadar memeriksa isi kode sumber ke metode pemantauan perilaku runtime.
Ini adalah proses mengamati apa yang sebenarnya dilakukan oleh skrip setelah dieksekusi di memori peramban pengguna.
Karakteristik anomali yang wajib dipantau meliputi:
- Skrip pihak ketiga (seperti widget obrolan atau pixel pemasaran) yang tiba-tiba membaca field formulir input kata sandi atau kartu kredit dan mengirimkannya ke domain luar.
- Skrip yang melakukan panggilan ke domain-domain baru yang baru didaftarkan beberapa hari lalu atau memiliki pola resolusi yang menyimpang dari garis dasar (baseline).
- Skrip yang minggu lalu hanya mengakses elemen visual, namun minggu ini tiba-tiba mencoba mengakses data cookie atau komponen jaringan internal.
Untuk mengalahkan pengaburan kode berbasis AI, tim keamanan membutuhkan teknologi deobfuskasi perilaku, yaitu menjalankan skrip di dalam lingkungan instrumen terisolasi.
Untuk melacak fungsi apa saja yang diaksesnya secara nyata (seperti field formulir, cookie, atau endpoint jaringan), tanpa peduli seberapa rumit kode tersebut disamarkan.
|
Baca juga: Dominasi Phising Serangan Multi Saluran |
Rencana Aksi Tanggap Darurat bagi Organisasi
Prioritaskan perlindungan berdasarkan tingkat risiko halaman web Anda: utamakan halaman pembayaran (checkout), diikuti halaman otentikasi (login), baru kemudian halaman informasi umum.
Langkah Minggu Ini:
1. Audit Dependensi Skrip.
Periksa seluruh skrip pihak ketiga pada situs web Anda untuk mengidentifikasi adanya domain CDN yang baru didaftarkan dalam rantai dependensi Anda.
2. Evaluasi Laporan CSP.
Tinjau laporan aktivitas CSP secara mendalam; jangan hanya melihat pelanggaran, tetapi analisis apa yang sebenarnya dilakukan oleh domain-domain yang sudah disetujui.
3. Memetakan Halaman Sensitif.
Identifikasi halaman web mana saja yang menangani data sensitif (kartu kredit, PIN, data pribadi) untuk diprioritaskan dalam pengawasan runtime.
Langkah Bulan Ini:
1. Terapkan Pemantauan Perilaku Runtime.
Pasang alat pemantau aktivitas memori peramban khusus pada halaman pembayaran dan login.
2. Tetapkan Garis Dasar Perilaku (Behavioral Baselines).
Buat profil aktivitas normal untuk setiap skrip pihak ketiga yang disetujui, agar sistem bisa langsung mendeteksi jika terjadi pergeseran perilaku.
3. Terapkan Pemeriksaan SRI (Subresource Integrity).
Untuk skrip yang di-host sendiri atau dapat disimpan dalam tembolok (cacheable), terapkan nilai hash SRI guna memastikan kode tidak bisa dimodifikasi di tengah jalan tanpa persetujuan Anda.
4. Gunakan Proteksi Tambahan dari ESET.
Solusi keamanan dari ESET dapat melengkapi lini pertahanan endpoint pengguna Anda. Melalui teknologi Advanced Memory Scanner dan perlindungan peramban yang terintegrasi.
ESET mampu memantau jika ada ekstensi mencurigakan atau skrip web yang mencoba melakukan injeksi kode (formjacking) di memori peramban secara real-time, memutus transmisi data curian bahkan sebelum sempat keluar dari perangkat pengguna.
Konklusi
Di tahun 2026, mempercayai vendor pihak ketiga secara mutlak tanpa pengawasan runtime adalah celah keamanan terbesar perusahaan.
Penegasan protokol dasar seperti pendaftaran domain proaktif atau konfigurasi DMARC memang penting, namun semua itu tidak akan berguna jika skrip pemasaran atau widget bantuan yang sudah Anda izinkan di situs web Anda telah disusupi peretas secara diam-diam.
Keamanan siber modern menuntut kita untuk tidak lagi sekadar memeriksa “siapa” yang masuk ke dalam sistem, melainkan memantau secara ketat “apa” yang mereka lakukan setelah berada di dalam.
Sumber berita:
