Kabar Terbaru ThreatsDay: Peretasan DeFi $290J, Penyalahgunaan macOS, dan Serangan Rantai Pasokan

Dalam edisi terkini ThreatsDay Bulletin, berbagai insiden keamanan siber yang signifikan mengemuka, mulai dari peretasan DeFi senilai $290 juta, penyalahgunaan fitur macOS untuk eksekusi tersembunyi, hingga lonjakan malware berbahaya yang menyasar rantai pasokan perangkat lunak. Berita ini memberikan gambaran menyeluruh tentang ancaman siber yang terus berkembang dan bagaimana pelaku kejahatan memanfaatkan celah lama dengan modifikasi minimal.

Peretasan DeFi $290 Juta Diduga Dilakukan Aktor Negara

Protokol komunikasi antar-blockchain LayerZero mengungkap bahwa kelompok peretas dari Korea Utara yang dikenal dengan nama TraderTraitor diduga kuat menjadi dalang di balik peretasan proyek keuangan terdesentralisasi (DeFi) KelpDAO yang menyebabkan kerugian sebesar $290 juta. Serangan ini dirancang untuk memanipulasi infrastruktur RPC (Remote Procedure Call) yang menjadi tulang punggung verifikasi transaksi LayerZero dengan cara membajak beberapa node RPC dan melakukan serangan DDoS pada node lainnya.

"Serangan ini secara khusus dirancang untuk memanipulasi atau meracuni infrastruktur RPC hilir dengan mengompromikan kuorum RPC yang digunakan LayerZero Labs DVN untuk memverifikasi transaksi," ujar LayerZero.

Akibatnya, Arbitrum Security Council mengambil langkah darurat dengan membekukan sekitar 30.766 ETH yang terkait dengan eksploitasi tersebut di jaringan Arbitrum One. TraderTraitor sebelumnya juga dikaitkan dengan peretasan besar Bybit pada awal 2025 yang mengakibatkan pencurian aset digital senilai $1,5 miliar. Kelompok Lazarus juga disebut terkait dengan pencurian $285 juta dari protokol Drift.

Eksploitasi Kritis pada Platform Otomasi Rumah: MajorDoMo

VulnCheck mengumumkan adanya eksploitasi aktif terhadap dua celah keamanan kritis pada platform otomasi rumah MajorDoMo. CVE-2026-27175 memungkinkan injeksi perintah berbahaya dan telah dieksploitasi sejak 13 April untuk menyisipkan webshell PHP sebagai pintu belakang permanen. Sementara CVE-2026-27174 memungkinkan eksekusi kode jarak jauh tanpa autentikasi melalui konsol PHP panel admin dan mulai dieksploitasi sejak 18 April.

Selain itu, terdapat pula upaya eksploitasi pada celah SSRF di Elestio Memos (CVE-2025-22952) dan bypass autentikasi pada router NETGEAR DGN2200 (CVE-2024-57046).

Lonjakan Malware Rantai Pasokan di Registry npm

Peneliti keamanan menemukan sejumlah paket berbahaya di registry npm yang menyusupkan fungsi pencurian data sensitif, pengintaian sistem, serta penanaman backdoor SSH dengan menambahkan kunci publik penyerang ke ~/.ssh/authorized_keys. Paket-paket tersebut termasuk ixpresso-core, forge-jsx, @genoma-ui/components, dan lain-lain.

• Paket dengan scope @fairwords mampu menyebar otomatis ke seluruh paket npm menggunakan token korban dan mencoba penyebaran lintas ekosistem ke PyPI melalui injeksi file .pth.
• Versi baru js-logger-pack memanfaatkan repositori Hugging Face untuk polling pembaruan sekaligus sebagai tujuan pencurian data.
• Paket @velora-dex/sdk yang dikompromikan mengunduh dan menjalankan skrip shell yang menanam trojan akses jarak jauh (RAT) berbasis Go bernama minirat pada sistem macOS.
• Paket mgc mengalami injeksi dropper yang mendeteksi sistem operasi dan mengunduh RAT spesifik platform dari GitHub Gist untuk mengekstraksi data berharga.

Lonjakan Serangan Injeksi Prompt AI

Forcepoint melaporkan sepuluh payload baru jenis indirect prompt injection (IPI) yang menargetkan agen kecerdasan buatan dengan instruksi berbahaya untuk melakukan penipuan finansial, penghancuran data, pencurian API key, hingga serangan penolakan layanan (DoS) terhadap AI.

"Setiap kasus mengikuti pola yang sama: penyerang meracuni konten web, menyembunyikan payload dari pandangan manusia, menunggu agen AI mengakses halaman, dan mengeksploitasi ketidakmampuan model bahasa besar (LLM) membedakan instruksi terpercaya dari konten yang dikontrol penyerang," kata Forcepoint.

Penyalahgunaan Akses Data Browser oleh Aplikasi Desktop Claude

Menurut pakar privasi web Alexander Hanff, aplikasi desktop Claude diketahui secara diam-diam memberikan dirinya izin mengakses data browser web, bahkan untuk browser yang belum terpasang di komputer pengguna. Aplikasi ini menempatkan berkas konfigurasi pada lokasi yang telah ditentukan untuk browser berbasis Chromium seperti Brave, Chrome, Edge, dan Vivaldi, memungkinkan interaksi Claude dengan browser sebelum pengguna menginstalnya.

Praktik ini dianggap sebagai dark pattern yang melanggar undang-undang privasi di Uni Eropa.

Perlindungan Display Hardware oleh SilentGlass dari NCSC Inggris

National Cyber Security Centre (NCSC) Inggris memperkenalkan SilentGlass, perangkat plug-and-play yang dirancang untuk memblokir segala aktivitas tak terduga atau berbahaya pada koneksi video HDMI dan DisplayPort. Teknologi ini sudah digunakan di lingkungan pemerintah dan kini tersedia untuk umum, dengan standar keamanan tertinggi untuk lingkungan berisiko tinggi.

Adopsi Passkey Sebagai Standar Autentikasi oleh NCSC

Dalam langkah revolusioner, NCSC mendukung penggunaan passkeys sebagai standar autentikasi utama menggantikan password tradisional. Passkeys hanya memerlukan persetujuan pengguna tanpa perlu memasukkan password, sehingga lebih cepat, mudah, dan tahan terhadap serangan phishing.

Saat ini, lebih dari 50% pengguna layanan Google di Inggris telah menggunakan passkeys.

Kontroversi Klaim Sabotase Backdoor pada Perangkat Jaringan di Iran

Media Iran melaporkan bahwa perangkat keras dari Cisco, Juniper, Fortinet, dan MikroTik mengalami reboot atau terputus secara misterius saat serangan terhadap Iran, meski negara tersebut terputus dari internet global. Dugaan kuat muncul bahwa perangkat tersebut mengandung backdoor firmware tersembunyi atau implant jahat yang aktif tanpa akses internet.

Laporan ini mendapat dukungan dari media pemerintah China yang menyebut perangkat buatan AS sebagai "trojan horse" sesungguhnya.

Perseteruan Ransomware Meningkat: Krybit vs 0APT

Kelompok ransomware Krybit membalas serangan dengan meretas situs rival 0APT setelah ancaman pembocoran identitas anggota Krybit. Krybit membocorkan kode sumber, log, dan data internal 0APT di situs kebocoran mereka sendiri, bahkan menempatkan 0APT sebagai korban pertama.

Layanan Malware-as-a-Service Baru: FUD Crypt

Platform cryptor-as-a-service baru bernama FUD Crypt menawarkan paket mulai dari $800 hingga $2.000 per bulan dengan fitur pengelakan deteksi seperti sideloading DLL otomatis, interferensi AMSI dan ETW, serta elevasi hak akses diam-diam.

Lonjakan Kampanye Phishing Penyebar Malware FormBook

Dua kampanye phishing yang menyasar perusahaan di Yunani, Spanyol, Slovenia, Bosnia, dan Amerika Latin menggunakan teknik berbeda untuk menyebarkan malware pencuri data FormBook yang menargetkan sistem Windows.

Abuse Eksekusi .NET Stealth di Kawasan Timur Tengah dan EMEA

Framework pasca-eksekusi canggih yang memanfaatkan binary Intel yang sudah terverifikasi secara digital disalahgunakan untuk menjalankan kode berbahaya tanpa terdeteksi. Teknik ini mengelabui kontrol keamanan dengan memanfaatkan mekanisme AppDomainManager pada .NET.

Kampanye Malware Gabungan RAT dan Adware

Kampanye malware baru menggabungkan trojan akses jarak jauh Gh0st RAT dengan adware CloverPlus untuk akses persisten dan keuntungan finansial melalui iklan tidak diinginkan.

Penyalahgunaan Fitur macOS untuk Eksekusi Stealth

Cisco Talos mengungkap metode baru yang memanfaatkan fitur bawaan macOS seperti Remote Application Scripting dan metadata Spotlight untuk menyimpan payload tersembunyi tanpa terdeteksi oleh solusi keamanan standar.

Kerangka Kerja Evaluasi Multi-Agent LLM Terbuka: Terrarium

Akademisi meluncurkan Terrarium, kerangka kerja open-source modular untuk mempelajari dan menguji sistem multi-agent berbasis model bahasa besar (LLM), memungkinkan penelitian mendalam terhadap perilaku dan kerentanan agen AI.

Menurut pandangan redaksi, rangkaian insiden ini menggambarkan tren peningkatan kompleksitas dan keberagaman serangan siber yang menggabungkan teknik lama dan baru. Peretasan besar seperti KelpDAO menunjukkan bahwa ancaman negara-negara berdaulat masih menjadi perhatian utama, sementara eksploitasi rantai pasokan dan penyalahgunaan AI menandai babak baru dalam peperangan digital yang sulit dideteksi dan diantisipasi. Pengguna dan organisasi harus meningkatkan kewaspadaan dan mengadopsi standar keamanan terbaru seperti passkeys serta memonitor aktifitas perangkat lunak dan perangkat keras secara ketat.

Untuk perkembangan selanjutnya, penting mengikuti kabar resmi dari sumber terpercaya seperti The Hacker News dan memperkuat proteksi sistem dengan teknologi mutakhir.