4 Paket npm Berbahaya Sebar Infostealer dan Malware Phantom Bot DDoS

Peneliti keamanan siber baru-baru ini mengungkap empat paket npm berbahaya yang mengandung malware pencuri informasi (infostealer) dan botnet DDoS bernama Phantom Bot. Salah satu paket bahkan merupakan klon dari worm Shai-Hulud yang sebelumnya telah dirilis secara terbuka oleh kelompok TeamPCP.

Daftar Paket npm Berbahaya dan Statistik Unduhan

• chalk-tempalte (825 unduhan)
• @deadcode09284814/axios-util (284 unduhan)
• axois-utils (963 unduhan)
• color-style-utils (934 unduhan)

Menurut Moshe Siman Tov Bustan dari OX Security, "Salah satu paket (chalk-tempalte) berisi klon langsung dari kode sumber Shai-Hulud yang bocor oleh TeamPCP minggu lalu, kemungkinan terinspirasi dari kompetisi serangan rantai pasokan yang dipublikasikan di BreachForums tak lama setelahnya."

Beragam Payload Malware dari Pengguna yang Sama

Meskipun semua paket dipublikasikan oleh pengguna npm yang sama, deadcode09284814, payload berbahaya yang tertanam berbeda-beda pada tiap paket. Hingga saat ini, keempat pustaka tersebut masih tersedia untuk diunduh di npm, yang tentu menimbulkan risiko besar bagi pengembang dan sistem yang menggunakannya.

Analisis mendalam mengungkap bahwa paket "axois-utils" berfungsi sebagai pengantar malware botnet DDoS berbasis Golang bernama Phantom Bot. Botnet ini mampu melancarkan serangan banjir trafik (flood) ke target melalui protokol HTTP, TCP, dan UDP. Selain itu, malware ini dibuat agar dapat bertahan lama dengan menambahkan dirinya ke folder Startup Windows dan membuat tugas terjadwal, sehingga tetap aktif di sistem Windows dan Linux.

Infostealer dalam Tiga Paket Lainnya

Tiga paket npm lainnya bertugas menyebarkan payload pencuri data. Paket "chalk-tempalte" sangat menonjol karena berisi klon dari worm Shai-Hulud yang dilepas oleh TeamPCP.

"Pelaku mengambil kode tersebut, hampir tanpa perubahan, lalu mengunggah versi yang berfungsi lengkap dengan server Command and Control (C2) dan kunci privatnya sendiri ke npm," jelas OX Security. "Kredensial yang dicuri dikirim ke server C2 jarak jauh di alamat 87e0bbc636999b.lhr[.]life."

Lebih lanjut, data yang dicuri juga diekspor ke repositori GitHub publik baru menggunakan token GitHub yang dicuri melalui API. Repositori ini diberi deskripsi "A Mini Sha1-Hulud has Appeared."

Dua paket lainnya, "@deadcode09284814/axios-util" dan "color-style-utils", memiliki fungsi lebih sederhana yakni mengirimkan data seperti kunci SSH, variabel lingkungan, kredensial cloud, informasi sistem, alamat IP, dan data dompet kripto ke alamat 80.200.28[.]28:2222 dan edcf8b03c84634.lhr[.]life secara berturut-turut.

Ancaman Serangan Rantai Pasokan yang Meningkat

OX Security mengingatkan bahwa "Pelaku ancaman semakin termotivasi melakukan serangan rantai pasokan dan typo-squatting, karena serangan menjadi lebih mudah setelah kode Shai-Hulud menjadi open source." Saat ini, kita melihat satu aktor menggunakan berbagai teknik dan tipe infostealer untuk menyebarkan kode berbahaya di npm, yang menandai fase awal gelombang serangan rantai pasokan yang lebih besar di masa depan.

Langkah Mitigasi untuk Pengguna

Bagi pengguna yang telah mengunduh paket-paket berbahaya tersebut, disarankan segera melakukan tindakan berikut:

1. Uninstall paket npm berbahaya tersebut dari proyek.
2. Cari dan hapus konfigurasi jahat dari lingkungan pengembangan dan agen pengkodean seperti Claude Code.
3. Lakukan rotasi rahasia (secrets) yang mungkin telah bocor, termasuk token GitHub.
4. Periksa repositori GitHub yang mengandung string "A Mini Sha1-Hulud has Appeared" dan evaluasi potensi kebocoran data.
5. Blokir akses jaringan ke domain dan IP yang mencurigakan yang teridentifikasi dalam serangan.

Untuk update dan informasi keamanan terbaru seputar ancaman siber seperti ini, ikuti kami di Google News, Twitter, dan LinkedIn.

Analisis Redaksi

Menurut pandangan redaksi, kasus empat paket npm berbahaya ini merupakan gambaran nyata bagaimana serangan rantai pasokan perangkat lunak semakin canggih dan sulit dideteksi. Dengan memanfaatkan platform distribusi paket populer seperti npm, pelaku kejahatan siber dapat menjangkau ribuan pengembang dan organisasi tanpa kecurigaan awal.

Lebih jauh, fakta bahwa kode malware seperti Shai-Hulud kini bersifat open source menjadi game-changer dalam lanskap ancaman siber. Ini mempercepat proliferasi varian malware baru dan memudahkan aktor jahat menyalin serta memodifikasi kode berbahaya untuk skala serangan yang lebih masif dan beragam.

Publik dan komunitas pengembang harus meningkatkan kewaspadaan dan melakukan verifikasi ketat terhadap paket yang digunakan, terutama dari sumber yang kurang dikenal. Pemerintah dan pengelola platform seperti npm juga perlu memperkuat sistem deteksi dan penindakan agar serangan serupa tidak terus berulang. Laporan lengkap ini harus menjadi peringatan penting bahwa keamanan rantai pasokan perangkat lunak kini menjadi prioritas utama yang tidak bisa diabaikan.