Nx Console 18.95.0 Terinfeksi Malware Pencuri Kredensial, VS Code Terancam

Baru-baru ini, versi 18.95.0 ekstensi Nx Console yang populer di Visual Studio Code (VS Code) ditemukan terinfeksi malware pencuri kredensial yang sangat berbahaya. Ekstensi ini, dengan lebih dari 2,2 juta instalasi, merupakan antarmuka pengguna dan plugin yang banyak digunakan untuk editor kode seperti VS Code, Cursor, dan JetBrains. Namun, versi ini ternyata membawa risiko serius bagi keamanan pengembang.

Serangan Melalui Payload Berbahaya dari Commit GitHub Orphan

Menurut peneliti dari StepSecurity, payload berukuran 498 KB yang disamarkan diunduh secara diam-diam oleh ekstensi saat pengembang membuka workspace pada VS Code. Payload ini berasal dari commit orphan yang tersembunyi di dalam repositori resmi nrwl/nx di GitHub. Seperti dijelaskan oleh Ashish Kurmi dari StepSecurity:

"Dalam hitungan detik setelah pengembang membuka workspace, ekstensi yang terinfeksi secara diam-diam mengunduh dan menjalankan payload obfuscated berukuran 498 KB dari commit orphan yang tersembunyi di repositori GitHub resmi nrwl/nx."

Payload ini berfungsi sebagai pencuri kredensial multi-tahap dan alat poisoning rantai pasokan yang mencuri rahasia pengembang. Data sensitif dikirimkan melalui HTTPS, API GitHub, dan bahkan menggunakan teknik terowongan DNS. Selain itu, malware ini juga memasang backdoor Python pada sistem macOS yang memanfaatkan API Pencarian GitHub sebagai mekanisme komunikasi untuk menerima perintah selanjutnya.

Asal-Mula dan Dampak Insiden

Dalam advisori resmi yang dikeluarkan pengelola ekstensi pada Senin lalu, diketahui bahwa akar masalah berasal dari mesin salah satu pengembang yang kredensial GitHub-nya bocor pada sebuah insiden keamanan sebelumnya, yang tidak dijelaskan secara rinci. Akibatnya, kredensial tersebut disalahgunakan untuk memasukkan commit orphan yang memuat malware ke repositori nrwl/nx.

Begitu ekstensi terpasang, malware akan menginstal runtime JavaScript Bun dan menjalankan file index.js yang disamarkan. Malware memiliki mekanisme untuk menghindari sistem dengan zona waktu Rusia dan CIS, lalu berjalan sebagai proses latar belakang untuk mengawali pencurian kredensial, termasuk dari 1Password vaults, konfigurasi Anthropic Claude Code, dan rahasia npm, GitHub, serta AWS.

Fitur yang paling mengkhawatirkan adalah integrasi lengkap dengan Sigstore, yang memungkinkan penyerang menerbitkan paket npm berbahaya dengan tanda tangan kriptografi resmi dan metadata SLSA, sehingga paket tersebut tampak sah dan terverifikasi secara digital.

Rekomendasi dan Indikator Kompromi

Tim pengembang Nx Console mengonfirmasi bahwa beberapa pengguna telah terdampak akibat serangan ini. Mereka menyarankan pengguna untuk segera memperbarui ekstensi ke versi 18.100.0 atau lebih baru. Selain itu, berikut adalah beberapa indikator kompromi yang harus diwaspadai:

• Versi 18.95.0 terpasang dalam rentang waktu antara 18 Mei 2026 pukul 14:36 hingga 14:47 CEST.
• Adanya file seperti ~/.local/share/kitty/cat.py, ~/Library/LaunchAgents/com.user.kitty-monitor.plist, /var/tmp/.gh_update_state, atau /tmp/kitty-*.
• Proses yang berjalan meliputi proses Python yang menjalankan cat.py dan proses dengan variabel lingkungan __DAEMONIZED=1.

Pengguna yang terdampak disarankan untuk segera menghentikan proses tersebut, menghapus file berbahaya, dan melakukan rotasi ulang semua kredensial yang mungkin terakses dari perangkat tersebut, termasuk token, rahasia, dan kunci SSH.

Serangan Rantai Pasokan dan Paket NPM Berbahaya Lainnya

Ini bukan kali pertama ekosistem Nx menjadi sasaran serangan. Pada Agustus 2025, sejumlah paket npm juga terinfeksi malware pencuri kredensial dalam sebuah kampanye rantai pasokan bernama s1ngularity. Namun, kali ini serangan menyasar ekstensi VS Code.

Selain itu, peneliti menemukan berbagai paket npm berbahaya yang menyebar di repositori terbuka seperti:

• iceberg-javascript, supabase-javascript, auth-javascript: Paket yang menyisipkan binary ELF untuk membobol sesi Claude Code dan mencuri kredensial.
• noon-contracts: Memalsukan SDK Noon Protocol untuk mencuri SSH key, private key dompet kripto, kredensial AWS, dan banyak lagi.
• martinez-polygon-clipping-tony: Fork berbahaya yang mengunduh trojan akses jarak jauh (RAT) berukuran 17MB yang menggunakan Telegram untuk kendali jarak jauh.
• common-tg-service: Paket yang mengambil alih akun Telegram korban dengan menyamar sebagai layanan resmi NestJS.
• exiouss: Pencuri cookie sesi ChatGPT dan OpenAI untuk browser seperti Chrome dan Edge.
• k8s-pod-checker, dev-env-setup, node-perf-utils: Paket yang memasang layanan proxy model bahasa besar (LLM) untuk mengalihkan trafik LLM korban.

Juga ada kampanye terkoordinasi oleh aktor berbahasa Indonesia yang menggunakan 38 paket npm untuk mengeksploitasi kebingungan dependensi dalam pipeline CI/CD, serta kampanye lain yang mengaitkan paket npm dengan platform judi olahraga dan streaming ilegal asal Tiongkok bernama Douqiu.

Analisis Redaksi

Menurut pandangan redaksi, insiden ini menandai betapa rentannya rantai pasokan perangkat lunak, khususnya di dunia pengembangan yang mengandalkan ekosistem terbuka seperti npm dan ekstensi VS Code. Serangan yang memanfaatkan kredensial pengembang menunjukkan bahwa keamanan endpoint pengembang sama pentingnya dengan keamanan infrastruktur TI perusahaan.

Lebih jauh, kemampuan malware untuk menerbitkan paket dengan tanda tangan cryptographically signed yang valid merupakan game-changer bagi penyerang, karena dapat menipu sistem verifikasi otomatis dan mengelabui pengguna serta sistem keamanan. Hal ini bisa memicu penyebaran malware yang jauh lebih luas dan sulit dideteksi.

Ke depan, pengembang dan organisasi harus meningkatkan proteksi terhadap kredensial GitHub dan npm mereka, menerapkan autentikasi multifaktor yang ketat, dan memonitor aktivitas tak lazim dalam repositori dan pipeline CI/CD. Selain itu, komunitas pengembang harus lebih waspada dalam memeriksa integritas paket yang diunduh dan memperbarui secara berkala.

Untuk informasi lebih lengkap dan update keamanan terkini, baca artikel sumber di The Hacker News serta ikuti berita dari sumber resmi lainnya.