Gem Ruby dan Modul Go Beracun Serang Pipeline CI untuk Curi Kredensial

Serangan rantai pasok perangkat lunak terbaru ditemukan memanfaatkan sleeper packages dalam ekosistem Ruby dan Go untuk mencuri kredensial dan memanipulasi pipeline Continuous Integration (CI), khususnya pada GitHub Actions.

Kampanye ini dilacak ke akun GitHub bernama "BufferZoneCorp", yang menerbitkan sejumlah repositori berisi Ruby gems dan modul Go berbahaya. Saat artikel ini ditulis, paket-paket tersebut sudah ditarik dari RubyGems dan modul Go telah diblokir. Berikut adalah daftar pustaka yang teridentifikasi:

Daftar Paket Berbahaya Ruby dan Go

• Ruby Gems:
  • knot-activesupport-logger
  • knot-devise-jwt-helper
  • knot-rack-session-store
  • knot-rails-assets-pipeline
  • knot-rspec-formatter-json
  • knot-date-utils-rb (gem sleeper)
  • knot-simple-formatter (gem sleeper)
• Modul Go:
  • github[.]com/BufferZoneCorp/go-metrics-sdk
  • github[.]com/BufferZoneCorp/go-weather-sdk
  • github[.]com/BufferZoneCorp/go-retryablehttp
  • github[.]com/BufferZoneCorp/go-stdlib-ext
  • github[.]com/BufferZoneCorp/grpc-client
  • github[.]com/BufferZoneCorp/net-helper
  • github[.]com/BufferZoneCorp/config-loader
  • github[.]com/BufferZoneCorp/log-core (modul sleeper)
  • github[.]com/BufferZoneCorp/go-envconfig (modul sleeper)

Modus Operandi dan Tujuan Serangan

Paket-paket berbahaya ini menyamar sebagai modul-modul populer seperti activesupport-logger, devise-jwt, go-retryablehttp, grpc-client, dan config-loader agar sulit terdeteksi dan menipu pengguna agar mengunduhnya.

"Akun ini merupakan bagian dari kampanye rantai pasok perangkat lunak yang menargetkan pengembang, runner CI, dan lingkungan build di dua ekosistem," jelas peneliti keamanan Socket, Kirill Boychenko, dalam analisisnya yang diterbitkan hari ini.

Ruby gems tersebut dirancang untuk mencuri kredensial secara otomatis saat waktu instalasi, dengan mengumpulkan variabel lingkungan, kunci SSH, rahasia AWS, konfigurasi .npmrc dan .netrc, konfigurasi GitHub CLI, serta kredensial RubyGems. Semua data yang dicuri kemudian dikirim ke endpoint Webhook.site yang dikendalikan pelaku.

Sementara itu, modul Go memiliki kemampuan lebih luas, termasuk memanipulasi workflow GitHub Actions, menyisipkan pembungkus Go palsu, mencuri data pengembang, dan menanamkan kunci publik SSH yang sudah dikodekan ke dalam file ~/.ssh/authorized_keys untuk akses jarak jauh ke host yang sudah terinfeksi. Payload-nya tersebar di berbagai modul, tidak semua modul membawa payload yang sama.

"Modul ini berjalan melalui fungsi init(), mendeteksi variabel GITHUB_ENV dan GITHUB_PATH, mengatur HTTP_PROXY dan HTTPS_PROXY, menulis executable Go palsu ke direktori cache, dan menambahkan direktori itu ke jalur workflow sehingga pembungkus palsu dipilih sebelum binary asli," lanjut Boychenko.

"Pembungkus tersebut dapat mencegat atau memengaruhi eksekusi Go selanjutnya sambil tetap meneruskan kontrol ke binary asli agar pekerjaan tidak gagal."

Langkah Mitigasi dan Imbauan untuk Pengguna

1. Segera hapus paket-paket berbahaya dari sistem Anda.
2. Periksa apakah ada akses tidak sah ke file sensitif atau perubahan pada ~/.ssh/authorized_keys.
3. Rotasi semua kredensial yang mungkin telah terekspos, termasuk kunci SSH, token AWS, dan lain-lain.
4. Inspeksi log jaringan untuk mendeteksi trafik keluar HTTPS menuju endpoint eksfiltrasi data.

Pengguna dan organisasi yang menggunakan paket Ruby atau modul Go dari sumber tidak resmi disarankan untuk meningkatkan kewaspadaan dan menggunakan solusi keamanan rantai pasok untuk mencegah insiden serupa.

Untuk informasi lebih lanjut dan update terbaru, Anda dapat membaca artikel asli di The Hacker News.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini menyoroti betapa rentannya ekosistem open source terhadap eksploitasi rantai pasok, terutama melalui paket-paket yang tampak sah namun membawa kode berbahaya. Dengan berkembangnya praktik DevOps dan penggunaan pipeline CI/CD yang otomatis, pelaku kejahatan siber semakin memanfaatkan celah ini untuk mendapatkan akses jangka panjang dan tersembunyi ke infrastruktur pengembang dan perusahaan.

Implikasi jangka panjangnya sangat serius, karena kredensial yang dicuri dapat digunakan untuk menyerang sistem lain, menyebarkan malware lebih luas, atau mencuri data penting. Selain itu, manipulasi workflow CI merupakan game-changer yang dapat mengakibatkan kerusakan berantai tanpa terdeteksi selama berminggu-minggu atau bahkan berbulan-bulan.

Ke depannya, pengembang dan perusahaan harus mengadopsi praktik keamanan rantai pasok yang lebih ketat, termasuk audit ketat terhadap dependensi dan penggunaan alat keamanan otomatis untuk mendeteksi perilaku mencurigakan dalam pipeline CI mereka. Kesadaran dan respons cepat juga menjadi kunci utama untuk mencegah dampak lebih luas dari serangan semacam ini.