Credit image: Dreamina
Sha1-Hulud Hapus Data dan Curi Kredensial – Para peneliti keamanan secara serentak membunyikan alarm mengenai gelombang serangan kedua.
Serangan yang menargetkan registri npm pusat penyimpanan paket open source terbesar di dunia dengan pola serangan yang mengingatkan pada serangan Shai-Hulud sebelumnya.
Operasi rantai pasokan baru ini, yang dijuluki Sha1-Hulud yakni nama cacing raksasa di film Dune, telah mengkompromikan ratusan paket npm.
Paket-paket npm yang sudah di-trojanized (disuntikkan malware) tersebut diunggah ke npm antara tanggal 21 hingga 23 November 2025.
Varian baru ini mengeksekusi kode berbahaya selama fase preinstall, yang secara signifikan meningkatkan potensi paparan di lingkungan build dan runtime.
Sama seperti gelombang serangan Shai-Hulud yang terungkap pada September 2025, aktivitas terbaru ini juga mempublikasikan rahasia yang dicuri ke GitHub, kali ini dengan deskripsi repositori: “Sha1-Hulud: The Second Coming.”
Mekanisme Infeksi dan Eksfiltrasi Data
Gelombang serangan sebelumnya ditandai dengan kompromi paket yang sah untuk mendorong kode berbahaya yang dirancang mencari rahasia di mesin pengembang menggunakan pemindai kredensial seperti TruffleHog, lalu mengirimkannya ke server eksternal.
Varian yang terinfeksi juga memiliki kemampuan untuk menyebar dalam mekanisme replikasi diri dengan mempublikasikan ulang dirinya ke paket npm lain yang dimiliki oleh maintainer yang telah dikompromikan.
Dalam serangan terbaru Sha1-Hulud, penyerang menerapkan metode yang lebih terselubung namun agresif:
|
Baca juga: Malware Mengunci Browser Curi Kredensial |
1. Eksekusi Skrip Preinstall
Penyerang menambahkan skrip preinstall (“setup_bun.js”) ke dalam file package.json. Skrip ini dikonfigurasi untuk secara diam-diam menginstal atau menemukan Bun runtime (lingkungan eksekusi JavaScript) dan menjalankan skrip berbahaya yang dibundel (“bun_environment.js”).
Ancaman Preinstall: Eksekusi malware selama fase preinstall sangat berbahaya karena hook ini adalah bagian integral dari proses instalasi npm, mengeksekusi kode sebelum paket tersebut diinstal sepenuhnya. Ini berarti malware dapat berjalan di lingkungan build dan lingkungan produksi sebelum developer menyadarinya.
2. Aksi Malicious Payload
Setelah dieksekusi, payload berbahaya ini menjalankan serangkaian tindakan melalui dua alur kerja utama:
- Setup GitHub Runner: Malware mendaftarkan mesin yang terinfeksi sebagai self-hosted runner bernama “SHA1HULUD”. Ia menambahkan workflow bernama .github/workflows/discussion.yaml yang berisi kerentanan injeksi. Workflow ini dirancang untuk berjalan pada runner yang di-host sendiri, memungkinkan penyerang untuk menjalankan perintah arbitrer pada mesin yang terinfeksi hanya dengan membuka diskusi di repositori GitHub yang dikontrol penyerang.
- Pencurian Rahasia (Credential Theft): Malware ini mengunduh dan menjalankan TruffleHog untuk memindai mesin lokal. Ia mencuri informasi sensitif seperti NPM Tokens, kredensial AWS/GCP/Azure, dan variabel lingkungan. Semua rahasia ini dieksfiltrasi dan diunggah sebagai artefak ke file bernama “actionsSecrets.json” di repositori eksfiltrasi. Setelah proses selesai, workflow tersebut dihapus untuk menyembunyikan aktivitas.
Dari Pencurian Data ke Sabotase
Para peneliti mencatat bahwa kampanye ini terus melanjutkan tren kompromi rantai pasokan npm dengan merujuk nama dan teknik Shai-Hulud, meskipun mungkin melibatkan aktor yang berbeda. Namun, gelombang kedua ini disebut jauh lebih agresif.
Fitur Penghapus Data (Wiper)
Malware ini berupaya menghancurkan seluruh home directory korban jika gagal mengotentikasi atau membangun persistensi. Secara spesifik, fungsi seperti wiper ini akan terpicu jika:
- Gagal mengotentikasi ke GitHub.
- Gagal membuat repositori GitHub.
- Gagal mengambil token GitHub.
- Gagal menemukan token npm.
|
Baca juga: Keylogger Curi Kredensial di Server Microsoft Exchange |
Dengan kata lain, jika Sha1-Hulud tidak dapat mencuri kredensial, mendapatkan token, atau mengamankan saluran eksfiltrasi apa pun, ia akan melakukan penghancuran data yang bersifat bencana.
Para peneliti menyebut ini sebagai eskalasi signifikan dari gelombang pertama, mengubah taktik dari murni pencurian data menjadi sabotase hukuman.
Upaya Hak Akses Root
Selain sabotase, malware ini juga ditemukan berupaya mendapatkan hak istimewa root. Ini dilakukan dengan mengeksekusi perintah Docker yang me-mount root filesystem host ke dalam wadah (container) yang memiliki hak istimewa.
Tujuannya adalah menyalin file sudoers yang berbahaya, memberikan penyerang akses root tanpa perlu kata sandi ke pengguna yang dikompromikan.
Dampak dan Mitigasi
Para peneliti telah melihat lebih dari 25.000 repositori yang terpengaruh di lebih dari 350 pengguna unik, dengan sekitar 1.000 repositori baru ditambahkan secara konsisten setiap 30 menit.
Untuk memitigasi risiko yang ditimbulkan oleh ancaman ini, organisasi didesak untuk segera mengambil tindakan:
- Pemindaian dan Penghapusan Paket: Pindai semua endpoint untuk mencari keberadaan paket yang terpengaruh dan segera hapus versi yang telah dikompromikan.
- Rotasi Kredensial: Segera rotasi semua kredensial, terutama NPM Tokens, kunci AWS/GCP/Azure, dan GitHub Secrets.
- Audit Repositori: Audit repositori untuk mencari mekanisme persistensi, terutama meninjau direktori .github/workflows/ untuk file mencurigakan seperti shai-hulud-workflow.yml atau branch yang tidak terduga.
- Batasi Izin: Batasi hak istimewa token npm dan pastikan self-hosted runner tidak memiliki izin berlebihan di lingkungan build Anda. Kerentanan ini menggarisbawahi pentingnya menggunakan otentikasi berbasis peran dengan hak akses minimum yang diperlukan.
Sumber berita:
