Recap Mingguan: Serangan Axios, Chrome 0-Day, Eksploitasi Fortinet, dan Spyware Paragon

Dalam pekan ini, dunia keamanan siber menghadapi berbagai serangan signifikan. Beberapa perangkat lunak populer terkena manipulasi, celah keamanan aktif ditemukan di aplikasi sehari-hari, dan beberapa serangan bahkan berjalan mudah karena jalur serangan sudah terbuka sebelumnya.

Serangan Utama Pekan Ini: Kompromi Paket Axios oleh Hacker Korea Utara

Axios, paket npm populer dengan hampir 100 juta unduhan mingguan, diretas oleh aktor ancaman yang terhubung dengan Korea Utara. Mereka menguasai akun npm pengelola utama Axios untuk menyebarkan versi berbahaya yang mengandung malware multiplatform bernama WAVESHAPER.V2. Serangan ini dilakukan oleh kelompok yang dikenal sebagai UNC1069 yang termotivasi oleh keuntungan finansial.

"Pipa build menjadi garis depan baru. Penyerang tahu jika mereka bisa kompromi sistem yang membangun dan mendistribusikan perangkat lunak, mereka bisa mewarisi kepercayaan secara masif," kata Avital Harel, Peneliti Keamanan di Upwind.

Ismael Valenzuela, Wakil Presiden Labs, Penelitian Ancaman di Arctic Wolf, menambahkan bahwa kompromi ini mencerminkan tren luas di mana penyerang menyusup ke komponen perangkat lunak yang dipercaya dan banyak digunakan untuk mengakses pelanggan secara massal. Meski versi jahat hanya tersedia beberapa jam, Axios begitu tersebar sehingga organisasi mungkin tanpa sadar mengunduh kode berbahaya melalui jalur pipa build atau dependensi turunannya.

Pembaruan Keamanan dan Eksploitasi Terbaru

• Google merilis pembaruan untuk Chrome guna menutup 21 kerentanan, termasuk zero-day CVE-2026-5281 yang sudah dieksploitasi di dunia nyata. Pengguna disarankan segera memperbarui ke versi terbaru.
• TrueConf diserang di Asia Tenggara melalui zero-day CVE-2026-3502 yang memungkinkan distribusi pembaruan aplikasi palsu. Ini terutama menargetkan entitas pemerintah dengan menggunakan framework Havoc.
• Fortinet FortiClient EMS mengalami eksploitasi kritis (CVE-2026-35616) yang memungkinkan bypass API dan eskalasi hak akses. Patch darurat telah dirilis.
• Apple memperluas ketersediaan pembaruan iOS 18.7.7 untuk mengatasi ancaman dari DarkSword, sebuah kit eksploit baru yang bocor di GitHub dan mengancam pengguna yang belum berpindah ke iOS 26.
• Malware DeepLoad menyebar melalui teknik ClickFix, mencuri kredensial dan mengintersep interaksi browser dengan pengelabuan tingkat tinggi, kemungkinan dikembangkan dengan bantuan AI.
• Anthropic mengalami kebocoran kode sumber untuk AI assistant Claude Code, memicu ancaman keamanan baru saat pelaku kejahatan memanfaatkan minat tinggi untuk menyebarkan malware pencuri data.

Serangan Phishing dan Pelacakan yang Meningkat

Serangan phishing berbasis device code melonjak lebih dari 37,5 kali lipat tahun ini, dengan teknik OAuth yang menipu pengguna mengeluarkan token akses untuk aplikasi penyerang. Microsoft menjadi target utama, diikuti oleh Google, Salesforce, GitHub, dan AWS.

Sementara itu, laporan BrowserGate menuding LinkedIn melakukan pemindaian tersembunyi terhadap ribuan ekstensi Google Chrome yang terpasang di browser pengunjung, mengumpulkan data perangkat tanpa persetujuan untuk memetakan penggunaan produk pesaing dan mengambil daftar pelanggan software lain. LinkedIn membantah tuduhan tersebut dan menyatakan hanya memindai ekstensi yang melanggar ketentuan layanan.

Spyware Paragon dan Kasus Ekstorsi Siber

ICE (Imigrasi dan Bea Cukai AS) mengonfirmasi penggunaan spyware Paragon untuk memerangi organisasi teroris dan mengatasi epidemi fentanyl. Spyware ini sebelumnya ditemukan di perangkat jurnalis dan menjadi sorotan setelah WhatsApp menggagalkan kampanye serangan menggunakan spyware serupa.

Dalam kasus hukum, seorang mantan insinyur infrastruktur bernama Daniel Rhyne mengaku bersalah atas kampanye pemerasan data terhadap mantan perusahaan tempatnya bekerja pada tahun 2023, dengan tuntutan tebusan sekitar 20 Bitcoin senilai $750.000. Kasus ini mengikuti vonis terhadap Cameron Curry yang melakukan skema pemerasan siber terhadap perusahaan teknologi di Washington DC.

Daftar Kerentanan Paling Mendesak Minggu Ini

Para profesional keamanan disarankan segera memeriksa dan menambal kerentanan berikut yang telah mendapat perhatian luas dan/atau sudah dieksploitasi:

1. CVE-2026-35616 (Fortinet FortiClient EMS)
2. CVE-2026-5281 (Google Chrome)
3. CVE-2026-3502 (TrueConf)
4. CVE-2026-20093 (Cisco Integrated Management Controller)
5. CVE-2026-21643 (Fortinet FortiClient EMS)
6. CVE-2026-1579 (PX4 Autopilot)
7. CVE-2026-25639 (Axios)
8. dan lainnya yang terkait dengan Grafana, Kyverno, CrewAI, Notepad++, Vim, dan berbagai perangkat lunak populer lainnya.

Analisis Redaksi

Menurut pandangan redaksi, serangan pada paket Axios dan eksploitasi zero-day di aplikasi populer menandai pergeseran kritis dalam lanskap ancaman siber. Target utama kini bukan hanya aplikasi akhir, melainkan proses pembangunan dan distribusi perangkat lunak yang selama ini dianggap tepercaya. Ini memperlihatkan betapa pentingnya organisasi untuk memperketat keamanan di lingkungan pengembangan, pipeline CI/CD, dan manajemen dependensi.

Lonjakan serangan phishing berbasis device code dan pelacakan tersembunyi oleh platform besar seperti LinkedIn juga menggarisbawahi bagaimana teknik serangan semakin canggih dan sulit dideteksi oleh pengguna biasa. Ini membuka peluang besar bagi pelaku kejahatan siber dengan modal teknologi canggih dan akses ke infrastruktur terpercaya. Untuk itu, edukasi keamanan dan pengawasan yang lebih ketat harus menjadi prioritas di semua level, tidak hanya di tim IT tapi juga pengguna akhir.

Kita harus terus memantau perkembangan serangan ini karena teknologi seperti AI dan otomatisasi kini semakin mempercepat dan memperhalus metode serangan. Ke depannya, kolaborasi antara pembuat perangkat lunak, peneliti keamanan, dan pengguna menjadi kunci untuk mencegah kerusakan lebih luas.

Untuk informasi lebih lengkap dan update terkini, kunjungi sumber asli di The Hacker News dan pantau pengumuman resmi dari vendor perangkat lunak terkait.