Google Sebut Serangan Rantai Pasokan Axios NPM Dilakukan Grup Korea Utara UNC1069
Google secara resmi mengaitkan serangan rantai pasokan pada paket populer Axios npm dengan kelompok ancaman yang dimotivasi secara finansial dari Korea Utara, yang dikenal dengan nama UNC1069.
John Hultquist, kepala analis di Google Threat Intelligence Group (GTIG), menyatakan kepada The Hacker News, "Kami telah mengaitkan serangan ini dengan aktor ancaman yang diduga berasal dari Korea Utara yang kami pantau sebagai UNC1069." Ia menambahkan, "Peretas Korea Utara memiliki pengalaman mendalam dalam serangan rantai pasokan, yang selama ini mereka gunakan untuk mencuri cryptocurrency. Skala penuh dari insiden ini masih belum jelas, namun mengingat popularitas paket yang dikompromikan, kami memperkirakan dampaknya akan sangat luas."
Detail Teknik Serangan pada Paket Axios
Serangan ini terjadi setelah pelaku berhasil menguasai akun npm pengelola paket Axios dan mengunggah dua versi trojan, yaitu 1.14.1 dan 0.30.4. Versi ini menambahkan dependensi berbahaya bernama "plain-crypto-js" yang berfungsi sebagai pintu belakang (backdoor) lintas platform, mampu menginfeksi sistem operasi Windows, macOS, dan Linux.
Alih-alih mengubah kode Axios secara langsung, serangan ini memanfaatkan postinstall hook di dalam file package.json pada dependensi jahat tersebut agar kode berbahaya dapat dieksekusi secara tersembunyi. Ketika paket Axios yang terinfeksi terpasang, npm secara otomatis menjalankan kode berbahaya ini di latar belakang.
Lebih spesifik, paket plain-crypto-js berfungsi sebagai "kendaraan pengantar payload" untuk sebuah skrip JavaScript yang terobfuskasi bernama SILKBELL ("setup.js"). Skrip ini mengambil tahap berikutnya dari server jarak jauh yang disesuaikan dengan sistem operasi korban.
- Eksekusi pada Windows mengirimkan malware PowerShell.
- Versi macOS menjalankan binary C++ Mach-O.
- Linux menerima backdoor berbasis Python.
Skrip dropper ini juga melakukan pembersihan dengan menghapus diri sendiri dan mengganti file package.json pada paket plain-crypto-js dengan versi bersih tanpa postinstall hook.
Backdoor WAVESHAPER.V2 dan Kaitannya dengan UNC1069
Backdoor yang ditemukan, yang dinamakan WAVESHAPER.V2, merupakan versi pembaruan dari WAVESHAPER—backdoor C++ yang sebelumnya digunakan oleh UNC1069 dalam serangan terhadap sektor cryptocurrency sejak 2018.
Menurut laporan dari Elastic Security Labs, ada kesamaan fungsi yang menguatkan kaitan antara serangan ini dengan UNC1069. WAVESHAPER.V2 mendukung empat perintah utama dan secara rutin mengirim sinyal ke server komando dan kontrol (C2) setiap 60 detik:
- kill: Menghentikan proses malware.
- rundir: Melakukan enumerasi direktori termasuk jalur file, ukuran, dan cap waktu pembuatan/modifikasi.
- runscript: Menjalankan AppleScript, PowerShell, atau perintah shell tergantung sistem operasi.
- peinject: Mendekode dan menjalankan binari arbitrer.
Mandiant dan GTIG menjelaskan, "WAVESHAPER.V2 merupakan evolusi langsung dari WAVESHAPER yang sebelumnya hanya menggunakan protokol C2 biner mentah dan teknik pengemasan kode sederhana. Versi baru ini menggunakan format JSON untuk komunikasi, mengumpulkan informasi sistem lebih lengkap, serta mendukung lebih banyak perintah backdoor." Namun, kedua versi ini sama-sama menerima URL C2 secara dinamis melalui argumen baris perintah, memiliki pola polling C2 identik, serta menggunakan User-Agent yang tidak umum.
Langkah Mitigasi dan Implikasi Serangan
Untuk mengurangi risiko serangan ini, pengguna dan organisasi disarankan melakukan langkah-langkah berikut:
- Audit pohon dependensi untuk menemukan versi Axios yang terinfeksi dan lakukan downgrade ke versi aman.
- Pin paket Axios ke versi yang sudah terverifikasi aman dalam
package-lock.jsonguna mencegah pembaruan otomatis. - Periksa keberadaan paket plain-crypto-js di folder
node_modules. - Hentikan proses jahat yang berjalan.
- Blokir domain C2
sfrclak[.]comdan alamat IP142.11.206[.]73. - Isolasi sistem yang terdampak dan rotasi seluruh kredensial yang mungkin telah terkompromi.
Tomislav Peričin, Chief Software Architect di ReversingLabs, menegaskan, "Serangan Axios ini harus dipahami sebagai sebuah pola operasi, bukan insiden sekali saja. Tingkat kecanggihan operasional yang terlihat, seperti kredensial maintainer yang dikompromikan, payload yang sudah dipersiapkan untuk tiga sistem operasi, dua cabang rilis yang diserang dalam waktu kurang dari 40 menit, serta mekanisme penghancuran forensik yang terintegrasi, menunjukkan ini adalah operasi yang dirancang agar dapat diskalakan."
Lebih lanjut, Peričin memperingatkan, "Jika kampanye ini mulai muncul pula di repositori PyPI dan NuGet, itu konsisten dengan mekanisme serangan yang bertujuan menjangkau sebanyak mungkin developer. Organisasi harus mengaudit tidak hanya dependensi npm, tapi juga semua package manager lain yang menyuplai pipeline build mereka, serta menganggap semua rahasia yang terekspos dalam lingkungan terdampak sebagai sudah terkompromi, terlepas dari registry mana yang diserang."
Menurut laporan The Hacker News, situasi ini menjadi peringatan penting bagi dunia pengembangan perangkat lunak dan keamanan siber untuk memperketat pengawasan terhadap rantai pasokan digital yang semakin rentan terhadap serangan berskala tinggi.
Analisis Redaksi
Menurut pandangan redaksi, pengungkapan bahwa UNC1069 dari Korea Utara berada di balik serangan rantai pasokan Axios ini bukan sekadar berita keamanan biasa, melainkan sinyal kuat mengenai eskalasi ancaman siber yang mengarah pada serangan terencana dengan target luas dan teknologi canggih. Penggunaan backdoor lintas platform dan teknik self-destruction menunjukkan aktor jahat ini tidak hanya mencari keuntungan sesaat, tetapi juga mengembangkan infrastruktur jangka panjang untuk aksi kriminal digital yang lebih besar.
Hal ini menuntut peningkatan kesadaran dan kesiapsiagaan tidak hanya dari para pengembang perangkat lunak, tetapi juga pengelola organisasi dan pembuat kebijakan. Rantai pasokan perangkat lunak kini menjadi pintu masuk kritis yang dapat dimanfaatkan untuk melumpuhkan ekosistem digital secara masif, sehingga pendekatan keamanan harus diperluas dari sekadar patching kode ke sistem manajemen risiko rantai pasokan secara holistik.
Ke depan, pembaca dan pelaku industri perlu mengawasi pergerakan serangan serupa yang mungkin menargetkan registri lainnya seperti PyPI dan NuGet, serta menyiapkan strategi mitigasi yang cepat dan terintegrasi. Penting juga untuk mendorong transparansi dan kolaborasi lintas sektor dalam mengidentifikasi dan menanggulangi ancaman rantai pasokan ini.
Dengan demikian, kejadian ini menjadi pengingat bahwa keamanan siber adalah perjuangan berkelanjutan yang harus selalu diutamakan dalam era digital yang semakin kompleks.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
