Paket npm Berbahaya Targetkan Pengembang

Cyberthreat.id - Pelaku ancaman yang tidak dikenal memanfaatkan paket npm berbahaya untuk menargetkan pengembang dengan tujuan mencuri kode sumber dan file konfigurasi dari mesin korban, sebuah tanda bagaimana ancaman mengintai secara konsisten di repositori sumber terbuka.

“Pelaku ancaman di balik kampanye ini telah dikaitkan dengan aktivitas jahat sejak tahun 2021,” kata perusahaan keamanan rantai pasokan perangkat lunak Checkmarx dalam laporan yang dibagikan kepada The Hacker News. "Sejak itu, mereka terus-menerus menerbitkan paket jahat."

Laporan terbaru merupakan kelanjutan dari kampanye yang sama yang diungkapkan Phylum pada awal bulan di mana sejumlah modul npm direkayasa untuk menyaring informasi berharga ke server jarak jauh.

Paket-paket tersebut, berdasarkan desain, dikonfigurasi untuk segera dieksekusi pasca-instalasi melalui hook pasca-instalasi yang ditentukan dalam file package.json. Ini memicu peluncuran preinstall.js, yang memunculkan index.js untuk menangkap metadata sistem serta mengambil kode sumber dan rahasia dari direktori tertentu.

Serangan tersebut mencapai puncaknya dengan skrip yang membuat arsip ZIP dari data dan mengirimkannya ke server FTP yang telah ditentukan sebelumnya.

Ciri umum yang menghubungkan semua paket adalah penggunaan "lexi2" sebagai penulis dalam file package.json, memungkinkan Checkmarx melacak asal usul aktivitas hingga tahun 2021.

Meskipun tujuan pasti dari kampanye ini tidak jelas, penggunaan nama paket seperti binarium-client, binarium-crm, dan rocketrefer menunjukkan bahwa penargetan diarahkan pada sektor mata uang kripto.

“Sektor mata uang kripto tetap menjadi target utama, dan penting untuk menyadari bahwa kita tidak hanya bergulat dengan paket-paket jahat, namun juga musuh-musuh yang gigih yang melakukan serangan terus-menerus dan terencana dengan cermat sejak berbulan-bulan atau bahkan bertahun-tahun,” kata peneliti keamanan Yehuda Gelb.[]