Credit image: Freepix
Malware GlassWorm Curi Data Developer – Para peneliti keamanan siber baru-baru ini mengungkap ancaman siber yang sangat canggih dan belum pernah terjadi sebelumnya.
Malware ini, dijuluki “GlassWorm,” menargetkan ekstensi perangkat lunak populer Visual Studio Code (VS Code), dan telah menginfeksi puluhan ribu mesin developer di seluruh dunia.
Hingga saat ini, diperkirakan lebih dari 35.800 mesin pengembang telah terinfeksi, menandai salah satu serangan rantai pasok (supply chain attack) yang paling rumit terhadap ekosistem pengembangan perangkat lunak.
Apa Itu GlassWorm?
GlassWorm adalah jenis worm (cacing komputer) yang memiliki kemampuan untuk menyebar sendiri (self-propagating) dari satu sistem ke sistem lainnya.
Malware ini pertama kali ditemukan pada 18 Oktober oleh peneliti dari Koi Security setelah mereka mencurigai adanya perubahan perilaku pada ekstensi bernama CodeJoy di marketplace OpenVSX (alternatif marketplace VS Code).
Yang membuat GlassWorm luar biasa berbahaya adalah teknik penyembunyian kodenya yang sangat cerdik.
|
Baca juga: Spearphishing Spesifik dan Berbahaya |
Kode yang Menghilang Seperti Kaca
Inti dari kecanggihan GlassWorm adalah kemampuannya membuat kode jahat benar-benar tidak terlihat. Peneliti menjelaskan bahwa malware ini memanfaatkan karakter Unicode yang dapat dicetak (printable Unicode characters) yang secara alami tidak dapat dirender atau ditampilkan oleh editor kode.
Malware ini tidak terlihat. Bukan disamarkan, bukan disembunyikan dalam berkas yang diminiaturkan. Tetapi benar-benar tidak terlihat oleh mata manusia.
Ini adalah pergeseran paradigma besar dalam keamanan siber. Selama ini, peneliti dan developer berasumsi bahwa mereka dapat meninjau (review) kode secara manual untuk memastikan keamanannya. Namun, GlassWorm membuktikan bahwa asumsi tersebut salah.
Kode jahat ini “seperti kaca,” transparan. Pengembang yang akunnya diretas mungkin melihat berkas mereka, mengira itu adalah kode sah, tanpa menyadari bahwa mereka akan mendistribusikan malware ke ratusan pengguna lain.
Kemampuan Ganda GlassWorm
Setelah berhasil menyebar melalui ekstensi yang terinfeksi, GlassWorm memiliki sederet kemampuan merusak yang menargetkan pengembang:
- Mencuri kredensial penting dari platform pengembangan seperti NPM, GitHub, OpenVSX, dan Git. Kredensial curian ini digunakan untuk mengkompromikan lebih banyak paket dan ekstensi, membuatnya menyebar seperti worm sejati—setiap korban baru menjadi vektor infeksi.
- Secara khusus mengincar dompet mata uang kripto yang ada di mesin developer untuk menguras aset digital.
- Tahap akhir yang disebut modul “ZOMBI” mengubah setiap mesin developer yang terinfeksi menjadi node dalam jaringan infrastruktur kriminal. Malware ini memasang SOCKS proxy servers dan VNC (Virtual Network Computing) servers tersembunyi, memberikan peretas akses jarak jauh penuh dan jaringan proxy gratis untuk aktivitas kejahatan siber.
- GlassWorm menggunakan Solana blockchain sebagai pusat perintah dan kontrol (C2) utamanya, dan bahkan menggunakan Google Calendar sebagai server perintah cadangan. Penggunaan platform terdesentralisasi dan layanan sah ini membuat aktivitas malware sangat sulit dilacak dan dimatikan.
|
Baca juga: Apakah Belanja di Etsy Aman? |
Dampak di Rantai Pasok Perangkat Lunak
Serangan ini menyoroti kerentanan serius dalam rantai pasok perangkat lunak. Para pelaku ancaman (threat actors) kini menemukan bahwa dengan “meracuni” ekstensi dan paket di repositori kode.
Mereka dapat dengan cepat menyebarkan malware ke ribuan developer dan, pada akhirnya, ke produk yang dikembangkan oleh developer tersebut.
Meskipun GlassWorm awalnya menyebar di marketplace OpenVSX, malware ini juga telah menyebar ke ekstensi di Microsoft VS Code Marketplace yang resmi. Untungnya, Microsoft segera menghapus ekstensi tersebut setelah dilaporkan oleh para peneliti.
Mitigasi dan Langkah Darurat
Perusahaan dan developer yang menggunakan VS Code harus menganggap serius ancaman ini. Jika ada indikasi mesin Anda terinfeksi, segera lakukan langkah-langkah berikut:
- Asumsikan semua kredensial, token (NPM, GitHub, dll.), dan bahkan dompet kripto Anda telah dicuri.
- Segera ganti semua token yang terkait dengan pengembangan, seperti NPM tokens, GitHub tokens, dan VSCode/OpenVSX tokens. Ganti juga semua kata sandi Anda.
- Untuk memastikan penghapusan malware yang menyeluruh, solusi paling aman adalah memformat ulang mesin yang terinfeksi. GlassWorm sangat tersembunyi, sehingga pembersihan manual berisiko meninggalkan sisa kode jahat.
- Tingkatkan Keamanan Rantai Pasok, tinjau izin akses yang diminta oleh setiap ekstensi yang Anda pasang. Aktifkan Otentikasi Multifaktor (MFA) di semua akun developer Anda (GitHub, NPM, dll.) untuk melindungi dari penyalahgunaan kredensial curian.
GlassWorm membuktikan bahwa kita tidak bisa lagi hanya mengandalkan mata untuk meninjau kode. Pengembang harus meningkatkan penggunaan alat pemindai keamanan rantai pasok yang dapat mendeteksi pola aneh dan karakter tersembunyi dalam kode sumber.
Sumber berita:
