Serangan Rantai Pasokan npm: Social Engineering UNC1069 Bobol Maintainer Axios

UNC1069 berhasil melancarkan serangan rantai pasokan melalui teknik social engineering yang sangat terarah terhadap maintainer paket Axios di platform npm. Insiden ini mengakibatkan dua versi paket Axios, yaitu 1.14.1 dan 0.30.4, terinfeksi malware dan berpotensi membahayakan jutaan pengguna di ekosistem JavaScript.

Modus Operandi Social Engineering oleh UNC1069

Jason Saayman, maintainer resmi Axios, mengungkapkan bahwa serangan ini dilakukan dengan pendekatan yang sangat dipersonalisasi. Pelaku yang merupakan kelompok ancaman dari Korea Utara, dikenal dengan nama UNC1069, menyamar sebagai pendiri perusahaan ternama dan menghubungi Saayman secara langsung.

"Mereka meniru wajah pendiri perusahaan tersebut serta perusahaan itu sendiri," ujar Saayman dalam analisis pasca-insiden. "Mereka mengundang saya ke sebuah workspace Slack asli yang didesain sedemikian rupa mengikuti identitas perusahaan itu, lengkap dengan berbagai channel yang berisi postingan LinkedIn."

Setelah berhasil mendapatkan kepercayaan, pelaku mengatur pertemuan melalui Microsoft Teams. Dalam panggilan tersebut, Saayman diperlihatkan pesan palsu yang menyatakan bahwa sistemnya perlu diperbarui. Ketika ia mengaktifkan pembaruan itu, malware berupa remote access trojan langsung terpasang di perangkatnya.

Dampak dan Cara Kerja Trojan WAVESHAPER.V2

Dengan akses yang didapat dari trojan tersebut, pelaku berhasil mencuri kredensial akun npm Saayman. Hal ini memungkinkan mereka menerbitkan dua versi Axios yang telah disusupi malware bernama WAVESHAPER.V2.

Saayman menilai bahwa seluruh rangkaian serangan ini "sangat terkoordinasi, tampak legal, dan dilakukan secara profesional." Pola serangan ini mirip dengan metode yang selama ini digunakan oleh UNC1069 dan kelompok BlueNoroff, yang sebelumnya juga didokumentasikan oleh Huntress dan Kaspersky, dengan julukan GhostCall.

"Kelompok ini biasanya menargetkan pendiri startup crypto, investor modal ventura, dan figur publik," kata peneliti keamanan Taylor Monahan. "Mereka menguasai akun mereka lewat social engineering dan kemudian melanjutkan serangan ke target berikutnya. Peralihan sasaran ke maintainer open source ini cukup mengkhawatirkan."

Upaya Pencegahan dan Implikasi Serangan Rantai Pasokan

Saayman telah mengambil langkah-langkah pencegahan, termasuk mereset seluruh perangkat dan kredensial, menerapkan rilis yang tak dapat diubah (immutable releases), mengadopsi alur OIDC untuk penerbitan paket, serta memperbarui konfigurasi GitHub Actions agar sesuai praktik terbaik keamanan.

Kasus ini menegaskan bahwa maintainer proyek open source kini menjadi sasaran utama serangan canggih, karena menggempur mereka berarti dapat menyebarkan malware secara masif melalui paket populer yang digunakan jutaan developer dan perusahaan.

Axios sendiri memiliki hampir 100 juta unduhan mingguan dan dipakai luas di seluruh komunitas JavaScript. Oleh karena itu, dampak serangan rantai pasokan seperti ini sangat besar dan cepat menyebar melalui ketergantungan langsung maupun transitif.

"Kasus Axios menunjukkan betapa sulitnya memahami risiko keamanan dalam lingkungan JavaScript modern," ujar Ahmad Nassri dari Socket. "Ini adalah konsekuensi dari cara kerja penyelesaian dependensi di ekosistem saat ini."

Analisis Redaksi

Menurut pandangan redaksi, insiden ini adalah peringatan serius bagi seluruh ekosistem open source dan pengembang perangkat lunak. Serangan yang dilakukan dengan pendekatan social engineering yang sangat canggih ini menunjukkan bahwa metode serangan tak hanya mengandalkan celah teknis, melainkan juga manipulasi psikologis yang sangat terstruktur dan meyakinkan.

Efek domino dari kompromi paket populer seperti Axios tidak hanya merusak kepercayaan, tetapi juga berpotensi membuka celah keamanan besar bagi jutaan aplikasi yang mengandalkan paket ini. Ini mengilustrasikan betapa kritisnya keamanan rantai pasokan perangkat lunak di era digital saat ini.

Ke depan, para maintainer harus segera mengadopsi praktik keamanan yang lebih ketat, termasuk otentikasi multi-faktor, verifikasi identitas, dan pembaruan otomatis yang aman. Pemerintah dan komunitas juga perlu meningkatkan edukasi keamanan dan menyediakan alat bantu untuk melindungi proyek-proyek open source vital.

Untuk informasi lebih lanjut dan update terkini seputar keamanan siber, kunjungi laporan resmi The Hacker News dan sumber terpercaya lainnya.