TigerJack Target Baru Curi Kripto

TigerJack Target Baru Curi Kripto – Aktor ancaman siber bernama TigerJack secara konsisten menargetkan para developer (pengembang) dengan ekstensi berbahaya yang dipublikasikan di marketplace.

Yakni marketplace Visual Studio Code (VSCode) milik Microsoft dan OpenVSX Registry. Serangan ini bertujuan untuk mencuri aset kripto dan menanam backdoor pada mesin korban.

Operasi berbahaya ini berhasil diidentifikasi oleh peneliti keamanan dan setidaknya telah menyebarkan 11 ekstensi VSCode berbahaya sejak awal tahun ini.

Eksploitasi Platform dan Modus Operandi

TigerJack memanfaatkan mekanisme penerbitan di kedua marketplace. Meskipun dua ekstensi berbahaya telah dihapus dari VSCode Marketplace setelah diunduh lebih dari 17.000 kali, ekstensi tersebut masih tersedia di OpenVSX.

Bahkan, TigerJack menunjukkan ketangkasan dengan menerbitkan kembali kode berbahaya yang sama di VSCode Marketplace di bawah nama dan akun baru.

OpenVSX adalah marketplace ekstensi sumber terbuka yang dikelola komunitas, berfungsi sebagai alternatif netral vendor untuk platform Microsoft.

OpenVSX juga merupakan marketplace standar bagi editor yang kompatibel dengan VSCode seperti Cursor dan Windsurf, yang mungkin dibatasi secara teknis atau legal dari menggunakan marketplace resmi Microsoft.

Tiga Kategori Utama Serangan TigerJack

Peneliti Koi Security mengidentifikasi beberapa jenis malware yang didistribusikan melalui ekstensi TigerJack:

1. Pencuri Kode Sumber (Source Code Stealer)

Dua ekstensi yang ditendang dari VSCode Marketplace C++ Playground dan HTTP Format telah diterbitkan kembali di platform tersebut menggunakan akun baru.

Ketika dijalankan, C++ Playground mendaftarkan listener (onDidChangeTextDocument) untuk berkas C++. Tugas listener ini adalah mengambil dan mengirimkan kode sumber (exfiltrate) ke beberapa endpoint eksternal.

Listener ini aktif sekitar 500 milidetik setelah setiap pengeditan, memungkinkan penangkapan ketukan kunci (keystroke) secara real-time.

2. Penambang Kripto (Cryptominer)

Menurut peneliti, ekstensi HTTP Format berfungsi sebagaimana mestinya, tetapi diam-diam menjalankan penambang CoinIMP di latar belakang.

Penambang ini menggunakan kredensial dan konfigurasi yang sudah tertanam (hardcoded) untuk menambang kripto menggunakan daya pemrosesan komputer host.

Parahnya, penambang ini tampaknya tidak menerapkan batasan penggunaan sumber daya, memanfaatkan seluruh daya komputasi developer untuk aktivitas penambangannya.

3. Eksekusi Kode Arbitrer Jarak Jauh (Remote Arbitrary Code Execution)

Kategori ketiga dari ekstensi berbahaya TigerJack (termasuk versi lain dari cppplayground, httpformat, dan pythonformat) mengambil kode JavaScript dari alamat yang sudah tertanam dan mengeksekusinya di host.

Alamat jarak jauh (ab498.pythonanywhere.com/static/in4.js) di-polling setiap 20 menit. Ini memungkinkan pelaku ancaman untuk menjalankan kode arbitrer tanpa perlu memperbarui ekstensi.

Para peneliti menggarisbawahi bahwa jenis serangan ketiga ini jauh lebih mengancam daripada pencuri kode sumber dan penambang kripto, karena memiliki fungsionalitas yang lebih luas.

TigerJack dapat secara dinamis mendorong payload berbahaya apa pun mulai dari:

• Mencuri kredensial dan kunci API.
• Menyebarkan ransomware.
• Menggunakan mesin developer yang disusupi sebagai titik masuk ke jaringan korporat.
• Menyuntikkan backdoor ke dalam proyek.
• Hingga memantau aktivitas developer secara real-time.

Teknik Pengelabuan dan Risiko Ekosistem Open-Source

TigerJack beroperasi sebagai “operasi multi-akun yang terkoordinasi” yang disamarkan seolah-olah berasal dari developer independen dengan latar belakang yang kredibel.

Mereka membangun ilusi kepercayaan ini dengan menggunakan repositori GitHub, branding, daftar fitur terperinci, dan nama ekstensi yang menyerupai alat sah.

Peneliti telah melaporkan temuan mereka ke OpenVSX. Namun, pada saat publikasi, pengelola registry belum merespons, dan dua ekstensi berbahaya tersebut masih tersedia untuk diunduh.

Mengapa Ekstensi IDE Menjadi Sasaran Empuk?

Insiden TigerJack menyoroti kerentanan yang lebih luas dalam ekosistem Integrated Development Environment (IDE), khususnya VSCode.

Ekstensi IDE menawarkan fungsionalitas yang kuat, tetapi model kepercayaan yang terbuka juga membuat mereka menjadi vektor serangan yang menarik.

Hak Akses Ekstensi yang Berlebihan

Tidak seperti ekstensi browser yang berjalan dalam sandbox dengan izin terbatas, ekstensi IDE, terutama di lingkungan seperti VS Code, memiliki hak akses “mode dewa” (god-mode access) yang luas. Sebuah ekstensi yang terinstal dapat:

1. Membaca/menulis berkas apa pun di sistem Anda.
2. Mengeksekusi perintah arbitrer (termasuk perintah shell OS).
3. Mengakses terminal dan jaringan.
4. Memantau keystroke dan clipboard (salinan data sementara).

Hak istimewa ini memungkinkan malware dapat mencuri kunci SSH, token AWS, kredensial, dan kode sumber sensitif dengan mudah.

Kerentanan Supply Chain di Marketplace Alternatif

Microsoft VSCode Marketplace telah menerapkan berbagai mekanisme keamanan, seperti pemindaian malware, deteksi dinamis, dan verifikasi penerbit. Namun, platform alternatif seperti OpenVSX (yang dikelola oleh Eclipse Foundation) telah terbukti rentan.

• Vetting yang Kurang Ketat: OpenVSX secara historis memiliki proses vetting yang kurang ketat dibandingkan marketplace resmi Microsoft, sehingga lebih mudah bagi pelaku ancaman untuk mendistribusikan paket berbahaya.
• Eksploitasi Algoritma: TigerJack, dan pelaku ancaman lain, mengeksploitasi algoritma peringkat OpenVSX (yang digunakan oleh fork VSCode seperti Cursor) dengan meningkatkan jumlah unduhan secara artifisial (download inflation) dan sering melakukan pembaruan untuk memberikan kesan keabsahan.
• Kerentanan CI/CD: Sebelumnya, OpenVSX juga menghadapi kerentanan di sistem penerbitan otomatisnya (auto-publishing), di mana proses Continuous Integration (CI) mengeksekusi script npm install pada kode ekstensi yang tidak tepercaya, yang berpotensi membocorkan token rahasia yang dapat digunakan untuk mengambil alih seluruh marketplace.

Rekomendasi Keamanan untuk Developer

Mengingat risiko yang tinggi, para developer harus meningkatkan kewaspadaan mereka terhadap ekstensi:

1. Selalu pastikan Anda hanya mengunduh paket dari penerbit yang bereputasi dan tepercaya. Cari tanda-tanda keabsahan seperti riwayat versi yang konsisten, dokumentasi yang baik, dan aktivitas di repositori (GitHub) penerbit.
2. Berhati-hatilah dengan ekstensi yang memiliki nama sangat mirip dengan alat populer (typosquatting). Pelaku ancaman seringkali menggunakan nama yang familiar untuk mengelabui korban.
3. Pahami izin apa saja yang diminta ekstensi saat instalasi. Pertimbangkan untuk memantau perilaku ekstensi yang Anda instal, terutama yang melibatkan aktivitas jaringan atau akses ke berkas sensitif, untuk mendeteksi tindakan yang mencurigakan.
4. Kurangi ketergantungan pada ekstensi pihak ketiga. Semakin sedikit ekstensi yang Anda instal, semakin kecil permukaan serangan Anda.

Ancaman seperti TigerJack membuktikan bahwa alat yang paling tepercaya dalam alur kerja developer dapat diubah menjadi pintu gerbang untuk pencurian kredensial, kebocoran kode sumber, dan bahkan kompromi sistem secara keseluruhan.

Sumber berita: 

WeLiveSecurity