Image credit: Freepix
OpenAI & Krisis Rantai Pasok – Serangan rantai pasok (supply chain attack) kembali mengguncang raksasa teknologi, kali ini, OpenAIyang menjadi korbannya.
OpenAI melaporkan bahwa sistem otomatisasi mereka sempat mengunduh pustaka (library) berbahaya akibat peretasan massal pada ekosistem kode sumber terbuka (open-source).
Insiden ini memicu gelombang kekhawatiran karena melibatkan ribuan rahasia perusahaan yang berpotensi bocor ke tangan kelompok peretas internasional.
Kejadian ini berawal dari eksploitasi pada pustaka Axios, salah satu alat paling populer yang digunakan pengembang untuk komunikasi data.
OpenAI mengungkapkan bahwa proses penandatanganan aplikasi macOS mereka sempat mengunduh versi Axios yang telah diracuni oleh peretas.
Meskipun OpenAI menegaskan tidak ada data pengguna atau sistem internal yang berhasil ditembus, langkah darurat tetap diambil untuk menjaga integritas perangkat lunak mereka.
Anatomi Pelumpuhan Rantai Pasok
Rantai serangan ini bermula ketika kelompok peretas, yang diidentifikasi oleh peneliti keamanan sebagai bagian dari operasi siber Korea Utara, berhasil membajak akun pengelola paket npm.
Mereka menyuntikkan ketergantungan berbahaya bernama “plain-crypto-js” ke dalam versi Axios terbaru. Kode jahat ini membawa backdoor lintas platform bernama WAVESHAPER.V2 yang mampu menginfeksi sistem Windows, macOS, hingga Linux.
Dalam kasus OpenAI, sistem GitHub Actions yang digunakan untuk mensertifikasi ChatGPT Desktop, Codex, dan Atlas secara otomatis menjalankan pustaka beracun tersebut.
Meski analisis menunjukkan bahwa sertifikat digital OpenAI kemungkinan besar tidak berhasil dicuri karena faktor waktu eksekusi yang meleset, perusahaan memilih untuk tidak mengambil risiko. OpenAI secara resmi mencabut dan mengganti semua sertifikat lama mereka.
Dampak dari keputusan ini sangat nyata bagi pengguna:
- Penghentian Dukungan: Mulai 8 Mei 2026, aplikasi ChatGPT Desktop versi lama tidak akan lagi menerima pembaruan atau dukungan.
- Pemblokiran Sistem: macOS akan secara otomatis memblokir aplikasi yang ditandatangani dengan sertifikat lama karena dianggap tidak aman.
- Kewajiban Pembaruan: Pengguna wajib melakukan pembaruan ke versi terbaru (misalnya ChatGPT Desktop minimal versi 1.2026.071) agar aplikasi tetap bisa berjalan.
Badai Ganda
Serangan terhadap Axios hanyalah satu dari dua insiden besar yang terjadi di bulan Maret. Insiden kedua menargetkan Trivy, sebuah alat pemindai kerentanan yang dikelola oleh Aqua Security.
Serangan ini dilakukan oleh kelompok kriminal siber bernama TeamPCP, yang menggunakan pencuri kredensial bernama SANDCLOCK.
Peretas memanfaatkan kredensial yang dicuri dari lingkungan pengembang untuk menyebarkan cacing komputer (worm) yang dapat mereplikasi diri sendiri, yang disebut CanisterWorm.
Teknik yang digunakan TeamPCP menunjukkan evolusi yang sangat cepat, dalam hitungan hari, mereka beralih dari menyerang infrastruktur AI, pemindai keamanan, hingga alat telekomunikasi.
Mereka bahkan menggunakan teknik steganografi canggih, yakni menyembunyikan kode jahat di dalam file gambar PNG atau file audio WAV untuk menghindari deteksi sistem keamanan tradisional.
Peneliti keamanan mencatat bahwa TeamPCP kini mulai bekerja sama dengan kelompok pemeras besar seperti LAPSUS$ dan ShinyHunters untuk memonetisasi data yang mereka curi.
Salah satu korban yang terdampak adalah Komisi Eropa, di mana peretas berhasil menggunakan kunci rahasia AWS yang dicuri untuk mengambil data dari lingkungan cloud mereka.
Kerentanan pada Alat Keamanan
Ironisnya, serangan ini justru menargetkan alat-alat yang dirancang untuk melindungi sistem. Dengan mengompromi alat pemindai keamanan seperti Trivy atau proses sertifikasi seperti milik OpenAI, peretas mendapatkan akses ke area yang paling sensitif dalam sebuah organisasi.
Data dari peneliti menunjukkan skala kerusakan yang masif:
- 474 Repositori Publik: Terdeteksi menjalankan kode jahat dari alur kerja yang terkompromi.
- 1.750 Paket Python: Terkonfigurasi untuk menarik versi yang telah diracuni secara otomatis.
- Ratusan Ribu Rahasia Bocor: Google memperingatkan bahwa kunci akses, kata sandi, dan rahasia perusahaan yang dicuri kini beredar luas di pasar gelap siber.
|
Baca juga: Mengenal Security as a Service (SECaaS) |
Mengganti Kepercayaan dengan Verifikasi
Insiden ini menjadi pengingat keras bagi para pengembang bahwa kepercayaan implisit pada pustaka pihak ketiga adalah celah keamanan yang fatal.
Perusahaan yang berhasil meminimalkan kerusakan adalah mereka yang telah menerapkan prinsip verifikasi eksplisit di setiap lapisan sistem mereka.
Berikut adalah langkah-langkah mitigasi strategis yang direkomendasikan oleh para peneliti dan institusi seperti CISA:
- Gunakan Pinning Digest: Jangan mengunduh paket berdasarkan label versi yang bisa berubah (misalnya v1.0), melainkan gunakan commit SHA atau digest yang unik agar kode yang diunduh benar-benar sesuai dengan yang diverifikasi.
- Batasi Masa Pakai Kredensial: Gunakan kunci akses yang berumur pendek dan memiliki ruang lingkup terbatas guna meminimalkan dampak jika terjadi kebocoran.
- Gunakan Mirror Internal: Jangan menarik kode langsung dari internet publik; gunakan server perantara internal yang telah memindai setiap paket sebelum digunakan oleh tim pengembang.
- Audit Rahasia Secara Rutin: Gunakan alat pemantau untuk memastikan tidak ada kunci akses atau rahasia perusahaan yang tertanam secara permanen dalam kode sumber.
- Lingkungan Terisolasi (Sandbox): Jalankan proses otomatisasi dan pengujian AI dalam lingkungan yang terisolasi total agar malware tidak bisa menyebar ke jaringan yang lebih luas.
Masa Depan Keamanan
Serangan rantai pasok di tahun 2026 ini menunjukkan bahwa musuh tidak lagi hanya mengetuk pintu depan, melainkan menyusup melalui komponen bangunan yang kita beli dari pihak lain.
OpenAI dan banyak perusahaan lainnya kini dipaksa untuk memperkeras pertahanan mereka dengan asumsi bahwa setiap bagian dari proses pengembangan bisa saja telah disusupi.
Bagi organisasi, ini adalah waktu untuk melakukan audit total terhadap ekosistem perangkat lunak mereka. Keamanan bukan lagi sekadar memasang antivirus, melainkan tentang memastikan bahwa setiap baris kode yang masuk ke dalam sistem telah diverifikasi asal-usul dan integritasnya.
Sumber berita:
