Credit image: Freepix
Ratusan Malware di Github Incar Gamer dan Developer – Para penjahat siber kini punya cara baru yang licik untuk menyebarkan program jahat mereka, yaitu melalui GitHub.
Para peneliti keamanan siber baru-baru ini menemukan lebih dari 200 repositori (tempat penyimpanan kode program) di GitHub yang sebenarnya berisi malware atau program jahat, meskipun tampilannya seperti alat atau game biasa.
|
Baca juga: Reinkarnasi Godfather Bikin Kacau Android |
Alat Hacking Palsu Berbasis Python
Peneliti keamanan menduga ini adalah kelanjutan dari operasi jahat yang sudah dimulai sejak 2023, yang saat itu menargetkan repository Python Package Index (PyPI) dengan paket-paket palsu. Paket-paket palsu ini sudah diunduh lebih dari 75.000 kali dan bisa mencuri informasi penting dari sistem Windows.
Penemuan ini diperkuat oleh laporan sebelumnya pada November 2024. Laporan itu merinci adanya alat bernama “steam-account-checker” yang di-host di GitHub.
Alat ini ternyata bisa mengunduh malware Python tambahan yang dapat menyuntikkan kode berbahaya ke aplikasi dompet cryptocurrency Exodus dan mencuri data sensitif ke server eksternal.
Analisis lebih lanjut menemukan ada 67 repositori GitHub yang telah dimodifikasi dengan malware. Repositori-repositori ini sengaja dibuat mirip dengan repositori asli yang tidak berbahaya, bahkan dengan nama yang sama persis!
Ada bukti yang menunjukkan bahwa target utama kampanye ini adalah pengguna yang mencari perangkat lunak seperti alat pembersih akun dan cheat game. Contohnya seperti:
- Discord account cleaner
- Fortnite External Cheat
- TikTok username checker
- PayPal bulk account checker.
Untungnya, semua repositori yang teridentifikasi ini sudah dihapus oleh GitHub.
Backdoor dan kode yang mengandung malware di repositori kode sumber yang tersedia untuk umum seperti GitHub semakin marak dan menjadi vektor serangan supply chain perangkat lunak yang berkembang.
Bagi pengembang yang mengandalkan platform open-source ini, sangat penting untuk selalu memeriksa ulang apakah repositori yang Anda gunakan benar-benar berisi apa yang Anda harapkan.
GitHub sebagai Layanan Distribusi Malware
GitHub kini semakin menjadi pusat perhatian dalam beberapa kampanye sebagai jalur distribusi malware. Belum lama ini, peneliti mengungkap 76 repositori GitHub berbahaya yang dioperasikan oleh aktor ancaman yang mereka sebut Water Curse, untuk menyebarkan malware bertahap.
Malware ini dirancang untuk mencuri kredensial (nama pengguna dan kata sandi), data browser, dan session token, serta memberikan akses jarak jauh yang berkelanjutan kepada penyerang ke sistem yang telah dibobol.
Sementara ada operasi lain yang menggunakan layanan kriminal yang dikenal sebagai Stargazers Ghost Network untuk menargetkan pengguna Minecraft dengan malware berbasis Java. Stargazers Ghost Network mengacu pada kumpulan akun GitHub yang menyebarkan malware atau tautan berbahaya melalui repositori phising (penipuan).
Beberapa aspek dari Stargazers Ghost Network diungkap pada April 2024. Pola pelaku menggunakan star palsu dan mendorong pembaruan yang sering untuk secara artifisial meningkatkan popularitas repositori dan memastikan repositori tersebut muncul di bagian atas hasil pencarian GitHub.
Repositori ini dengan cerdik disamarkan sebagai proyek yang sah, biasanya terkait dengan game populer, cheat, atau alat seperti pelacak harga cryptocurrency dan prediksi pengganda untuk game taruhan crash-betting.
Operasi-operasi ini juga sejalan dengan gelombang serangan lain yang menargetkan penjahat siber pemula yang mencari malware dan alat serangan yang siap pakai di GitHub, dengan repositori yang sudah disisipi backdoor untuk menginfeksi mereka dengan pencuri informasi.
|
Baca juga: Ketika AI Memudahkan Penipuan Daring |
Repositori Lain Terkuak
Dalam satu contoh yang disoroti, repositori Sakura-RAT yang telah dimodifikasi ditemukan mengandung kode berbahaya yang menginfeksi mereka yang mengkompilasi malware tersebut di sistem mereka dengan pencuri informasi dan trojan akses jarak jauh (RAT) lainnya.
Repositori yang teridentifikasi berfungsi sebagai saluran untuk empat jenis backdoor yang berbeda. Backdoor ini tertanam dalam kejadian PreBuild Visual Studio, skrip Python, file screensaver, dan JavaScript untuk:
- Mencuri data.
- Mengambil screenshot.
- Berkomunikasi melalui Telegram.
- Mengambil muatan tambahan, termasuk AsyncRAT, Remcos RAT, dan Lumma Stealer.
Secara keseluruhan, peneliti mengatakan telah mendeteksi tidak kurang dari 133 repositori yang disusupi backdoor sebagai bagian dari operasi.
Dengan 111 di antaranya berisi backdoor PreBuild, dan yang lainnya menampung backdoor Python, screensaver, dan JavaScript.
Sophos lebih lanjut mencatat bahwa aktivitas ini kemungkinan terkait dengan operasi “distribution-as-a-service” yang telah beroperasi sejak Agustus 2022.
Operasi ini telah menggunakan ribuan akun GitHub untuk mendistribusikan malware yang tertanam dalam repositori yang dimodifikasi dengan tema cheat game, eksploitasi, dan alat serangan.
Meskipun metode distribusi pasti yang digunakan dalam kampanye ini tidak jelas, diyakini bahwa aktor ancaman juga mengandalkan server Discord dan saluran YouTube untuk menyebarkan tautan ke repositori yang telah dimodifikasi.
Masih belum jelas apakah kampanye ini secara langsung terkait dengan beberapa atau semua kampanye sebelumnya yang dilaporkan, tetapi pendekatan ini tampaknya populer dan efektif, dan kemungkinan akan berlanjut dalam satu bentuk atau lainnya.
Di masa depan, ada kemungkinan bahwa fokusnya dapat berubah, dan aktor ancaman dapat menargetkan kelompok lain selain penjahat siber dan gamer yang tidak berpengalaman yang menggunakan cheat.
Ada kesamaan yang mencolok antara operasi tersebut. Ini mencakup ciri-ciri seperti:
- Repositori dengan “nama yang sangat mirip
- Penggunaan luas akun GitHub
- Fokus serupa pada aplikasi Electron
- Penyalahgunaan serupa elemen PreBuild Visual Studio, dan
- Referensi ke alamat email “ischhfd83” (“ischhfd83@rambler[.]ru”), yang digunakan untuk melakukan commit ke repositori GitHub.
Saran Keamanan
Dalam situasi yang terjadi dan telah dipaparkan di atas ada hal-hal yang dapat dilakukan oleh pengguna untuk terhindar menjadi korban.
Berikut beberapa saran untuk Anda:
- Selalu curiga terhadap tautan atau unduhan dari sumber yang tidak Anda kenal atau tidak tepercaya, bahkan di GitHub.
- Periksa ulang reputasi repositori dan pengembangnya sebelum mengunduh atau menggunakannya.
- Gunakan perangkat lunak keamanan yang andal untuk melindungi komputer Anda dari malware.
- Jika Anda seorang pengembang, berhati-hatilah saat menggunakan kode dari sumber terbuka dan selalu verifikasi keasliannya.
Demikian berita mengenai ratusan malware di Github incar gamer dan developer jadi sasaran, semoga informasi yang disajikan dapat memberi manfaat.
Sumber berita:
