36 Paket npm Berbahaya Eksploitasi Redis dan PostgreSQL untuk Implant Persisten
Peneliti keamanan siber telah menemukan 36 paket berbahaya di registri npm yang menyamar sebagai plugin Strapi CMS namun membawa payload berbeda untuk mengeksploitasi Redis dan PostgreSQL, menanam shell reverse, mencuri kredensial, serta memasang implant persisten.
Menurut SafeDep, "Setiap paket berisi tiga file (package.json, index.js, postinstall.js), tanpa deskripsi, repository, atau homepage, dan menggunakan versi 3.6.8 untuk terlihat seperti plugin komunitas Strapi v3 yang matang."
Modus Penyamaran dan Penyebaran Paket Berbahaya
Semua paket menggunakan konvensi penamaan yang sama, dimulai dengan "strapi-plugin-" diikuti oleh kata-kata seperti "cron", "database", atau "server" agar tampak meyakinkan bagi para pengembang. Perlu dicatat, plugin resmi Strapi menggunakan scope "@strapi/".
Paket-paket ini diunggah oleh empat akun palsu bernama umarbek1233, kekylf12, tikeqemif26, dan umar_bektembiev1 dalam rentang waktu 13 jam. Berikut ini beberapa nama paket yang teridentifikasi:
- strapi-plugin-cron
- strapi-plugin-config
- strapi-plugin-server
- strapi-plugin-database
- strapi-plugin-core
- strapi-plugin-hooks
- strapi-plugin-monitor
- strapi-plugin-events
- strapi-plugin-logger
- strapi-plugin-health
- strapi-plugin-sync
- strapi-plugin-seed
- strapi-plugin-locale
- strapi-plugin-form
- strapi-plugin-notify
- strapi-plugin-api
- strapi-plugin-sitemap-gen
- strapi-plugin-nordica-tools
- strapi-plugin-nordica-sync
- strapi-plugin-nordica-cms
- strapi-plugin-nordica-api
- strapi-plugin-nordica-recon
- strapi-plugin-nordica-stage
- strapi-plugin-nordica-vhost
- strapi-plugin-nordica-deep
- strapi-plugin-nordica-lite
- strapi-plugin-nordica
- strapi-plugin-finseven
- strapi-plugin-hextest
- strapi-plugin-cms-tools
- strapi-plugin-content-sync
- strapi-plugin-debug-tools
- strapi-plugin-health-check
- strapi-plugin-guardarian-ext
- strapi-plugin-advanced-uuid
- strapi-plugin-blurhash
Teknik Eksploitasi dan Payload yang Digunakan
Analisis menunjukkan bahwa kode jahat tersembunyi pada postinstall script yang dijalankan otomatis saat "npm install" tanpa interaksi pengguna. Script ini berjalan dengan hak akses pengguna yang melakukan instalasi, sehingga berpotensi menyalahgunakan akses root di lingkungan CI/CD dan wadah Docker.
Payload yang digunakan berkembang secara bertahap sebagai berikut:
- Memanfaatkan instance Redis lokal untuk eksekusi kode jarak jauh dengan menyisipkan entri crontab yang mengunduh dan menjalankan shell script dari server jarak jauh setiap menit. Shell script ini menulis web shell PHP dan reverse shell Node.js melalui SSH di direktori upload Strapi, juga melakukan pemindaian untuk menemukan rahasia seperti Elasticsearch dan seed phrase dompet kripto, serta mengekstrak modul API Guardarian.
- Menggabungkan eksploitasi Redis dengan pelarian dari container Docker untuk menulis payload shell di host di luar container, meluncurkan reverse shell Python di port 4444, dan memicu reverse shell via direktori node_modules aplikasi melalui Redis.
- Menanam reverse shell dan shell downloader melalui Redis lalu mengeksekusi file tersebut.
- Memindai variabel lingkungan dan string koneksi database PostgreSQL.
- Payload yang diperluas untuk mengumpulkan dump lingkungan, konfigurasi Strapi, ekstraksi database Redis dengan menjalankan perintah INFO, DBSIZE, dan KEYS, pemetaan topologi jaringan, rahasia Docker/Kubernetes, kunci kriptografi, dan file dompet kripto.
- Eksploitasi database PostgreSQL dengan menghubungkan ke database target menggunakan kredensial hard-coded, mengquery tabel khusus Strapi untuk mencari rahasia, serta mengekstrak pola terkait cryptocurrency seperti wallet, transaksi, deposit, dan lainnya. Juga mencoba mengakses enam database Guardarian, menandakan kemungkinan aktor ancaman sudah memiliki data tersebut sebelumnya.
- Memasang implant persisten untuk mempertahankan akses jarak jauh ke hostname spesifik "prod-strapi".
- Memfasilitasi pencurian kredensial dengan memindai jalur hard-coded dan memicu reverse shell persisten.
"Delapan payload ini menunjukkan narasi jelas: penyerang awalnya agresif (Redis RCE, pelarian Docker), setelah gagal, beralih ke pengintaian dan pengumpulan data, menggunakan kredensial hardcoded untuk akses database langsung, dan akhirnya menetap pada akses persisten dengan pencurian kredensial terarah," kata SafeDep.
Fokus payload pada aset digital dan penggunaan kredensial serta hostname yang hardcoded mengindikasikan kampanye ini kemungkinan serangan terarah pada platform cryptocurrency. Pengguna yang menginstal paket-paket tersebut disarankan menganggap sistem mereka telah terkompromi dan segera melakukan rotasi semua kredensial.
Serangan Supply Chain Terbaru di Ekosistem Open Source
Penemuan ini bertepatan dengan serangkaian serangan rantai pasokan (supply chain) yang menargetkan ekosistem open source, antara lain:
- Akun GitHub "ezmtebo" mengirim 256+ pull request berisi payload pencurian kredensial yang mencuri rahasia lewat log CI dan komentar PR, menyisipkan workflow sementara untuk mengekstrak rahasia, dan menjalankan scanner background selama 10 menit.
- Pengambilalihan organisasi GitHub "dev-protocol" untuk mendistribusikan bot trading Polymarket berbahaya dengan dependensi npm typosquat yang mencuri private key dompet dan membuka backdoor SSH.
- Komplikasi paket Emacs "kubernetes-el/kubernetes-el" dengan eksploitasi vulnerability GitHub Actions untuk mencuri token GITHUB_TOKEN dan menanam kode destruktif.
- Komplikasi workflow GitHub Actions "xygeni/xygeni-action" untuk menanam backdoor reverse shell menggunakan kredensial maintainer yang dicuri.
- Overtake paket npm "mgc" dengan empat versi berbahaya yang mengunduh trojan Python untuk Linux dan PowerShell untuk Windows, terkait dengan kampanye UNC1069 dari Korea Utara.
- Paket npm "express-session-js" yang meniru "express-session" dan menanam dropper untuk mengunduh RAT dari JSON Keeper.
- Komplikasi paket PyPI "bittensor-wallet" memasang backdoor yang mengekstrak kunci dompet dengan berbagai saluran eksfiltrasi termasuk HTTPS dan DNS tunneling.
- Paket PyPI "pyronut" meniru "pyrogram" yang menanam backdoor tersembunyi untuk mengambil alih sesi Telegram dan sistem host.
- Tiga ekstensi Visual Studio Code berbahaya yang diperbarui pada Maret 2026, meluncurkan backdoor multi-tahap untuk Windows dan macOS.
- Beberapa versi ekstensi VS Code "KhangNghiem/fast-draft" yang menjalankan downloader dari GitHub untuk memasang RAT Socket.IO, pencuri informasi, modul eksfiltrasi file, dan monitor clipboard.
Analisis Redaksi
Menurut pandangan redaksi, serangan-serangan rantai pasokan ini menandai gelombang baru ancaman yang sangat berbahaya bagi keamanan digital global. Penggunaan paket npm dan PyPI yang tersebar luas sebagai vektor serangan menunjukkan bagaimana aktor jahat kini secara sistematis mengeksploitasi kepercayaan pengembang dan perusahaan terhadap ekosistem open source.
Implikasi dari kompromi ini sangat luas, mulai dari pencurian data rahasia, akses persisten ke infrastruktur penting, hingga potensi kerusakan masif pada layanan yang bergantung pada perangkat lunak tersebut. Ancaman ini menuntut perhatian serius dari pemilik proyek, pengembang, dan organisasi IT untuk meningkatkan mekanisme pengamanan seperti verifikasi paket, audit kode, dan rotasi kredensial secara rutin.
Kita juga harus mengantisipasi bahwa tren serangan ini akan semakin canggih dan tersembunyi, memanfaatkan otomatisasi dan teknik social engineering untuk mengelabui korban. Oleh karena itu, edukasi keamanan dan pengawasan aktif pada rantai pasokan perangkat lunak menjadi sangat krusial.
Untuk informasi lebih lengkap dan pembaruan terkini, pembaca dapat mengakses berita lengkap melalui sumber asli The Hacker News dan berbagai laporan keamanan dari lembaga terpercaya.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
