/data/photo/2026/06/26/6a3dc72e101f1.jpg)
:quality(30):format(webp):focal(0.5x0.5:0.5x0.5)/aceh/foto/bank/originals/Ahmad-Yanis-SH-ASN-Pada-Rumah-Sakit-Jiwa-Aceh-dan-Pengurus-DPD-KNPI-Aceh.jpg)
Malware Miasma Serang Paket npm dan GitHub Actions dalam Serangan Rantai Pasok
Baru-baru ini, para peneliti keamanan siber mengungkap evolusi terbaru dari serangan rantai pasok yang dikaitkan dengan keluarga malware Mini Shai-Hulud, Miasma, dan Hades. Serangan ini berhasil menginfeksi sejumlah baru npm packages sekaligus menyebar ke ekosistem Go.
Sebuah laporan dari Socket menyatakan, "Aktivitas terbaru ini mencakup rilis npm berbahaya yang menyerang paket LeoPlatform dan RStreams, penyalahgunaan alur kerja GitHub Actions, serta kompromi modul Go terkait proyek Verana Blockchain."
Tujuan utama dari kampanye ini tetap sama seperti sebelumnya, yaitu untuk mengumpulkan kredensial pengembang atau pemelihara paket, lalu menggunakan data curian tersebut untuk menyebar ke registri paket, repositori, dan alur kerja pengembang yang terpercaya.
Paket npm dan Modul Go yang Terinfeksi
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- [email protected]
- github.com/verana-labs/[email protected] (Go)
Diduga, akun npm pengembang yang terkait dengan LeoPlatform dengan nama pengguna "czirker" berhasil diretas, kemungkinan besar melalui kebocoran kredensial. Hal ini memungkinkan pelaku ancaman menggunakan token npm milik pemelihara untuk mendorong versi trojanized dalam jangka waktu hanya enam detik.
Taktik Serangan dan Teknik Malware
Gelombang serangan terbaru ini menggunakan banyak taktik yang sama seperti kampanye sebelumnya, antara lain:
- Keracunan registri npm (npm registry poisoning)
- Eksekusi kode saat instalasi via binding.gyp
- Malware JavaScript yang dijalankan oleh Bun-staged
- Infrastruktur dead-drop GitHub
- Pencurian rahasia di GitHub Actions
- Persistensi di IDE dan asisten pengkodean AI
- Eksfiltrasi kredensial terenkripsi
Berbeda dengan paket npm berbahaya yang biasanya menambahkan lifecycle hook pada file package.json, malware ini memanfaatkan file binding.gyp untuk menjalankan kode sewenang-wenang selama instalasi. Proses ini memicu peluncuran loader JavaScript yang mengunduh dan menginstal runtime Bun jika belum ada, lalu memulai payload pencuri data yang bertanggung jawab mengumpulkan rahasia, kredensial, dan token.
Selain itu, malware ini memiliki killswitch dalam bahasa Rusia dan memeriksa keberadaan perangkat lunak keamanan endpoint. Malware juga menjatuhkan workflow bernama "Run Copilot" untuk menangkap rahasia lingkungan CI/CD dari memori runner. Data tersebut kemudian diunggah ke repositori publik GitHub dengan deskripsi "Alright Lets See If This Works." Hingga saat ini, terdapat 559 repositori yang sesuai dengan deskripsi ini.
Perubahan pada Penanda Token dan Kompromi GitHub Actions
Penanda relai token juga mengalami perubahan. Sebelumnya, malware menggunakan string seperti "IfYouInvalidateThisTokenItWillNukeTheComputerOfTheOwner," sedangkan versi terbaru memakai "RevokeAndItGoesKaboom." String ini digunakan sebagai resolver dead drop GitHub terkait kompromi terbaru pada GitHub Action "codfish/semantic-release-action."
"Pada 24 Juni 2026 pukul 15:39:06 UTC, pelaku memaksa melakukan force-push komit berbahaya ke repositori codfish/semantic-release-action dan mengarahkan beberapa tag versi ke komit tersebut," ujar StepSecurity. "Setiap alur kerja yang berjalan pada tag ini setelah waktu tersebut langsung menjalankan payload pelaku di dalam runner GitHub Actions. Payload ini mencuri token OIDC GitHub, mengumpulkan Token Akses Pribadi yang cocok dengan pola token GitHub, mengenkripsi data yang dikumpulkan dengan AES-128-GCM, dan mencoba menyebarkan backdoor ke repositori lain yang bisa diakses dengan kredensial curian."
Hal ini mengindikasikan bahwa semua peristiwa ini terhubung dalam satu klaster operasi atau menggunakan alat yang sama. Menurut Endor Labs dan OX Security, malware juga memantau GitHub setiap jam untuk komit yang mengandung string "firedalazer" guna mengambil dan menjalankan varian malware Hades.
Risiko dan Dampak bagi Ekosistem Cloud-Native
JFrog menyebutkan bahwa paket Leo/RStreams terkait erat dengan beban kerja cloud-native dan serverless. Kompromi paket ini dapat mengekspos workstation pengembang, sistem CI/CD, aplikasi berbasis AWS, repositori GitHub, kredensial publikasi paket, dan konsumen paket di hilir.
"Yang menarik bukanlah bahwa payload ini sangat baru, melainkan bahwa Shai-Hulud terus bergerak di berbagai ekosistem paket resmi dengan mengubah indikatornya sedikit demi sedikit sehingga deteksi lama menjadi kurang efektif," kata JFrog.
Selain itu, keracunan repositori Verana GitHub memperluas cakupan kampanye ini melampaui npm. Namun, serangan ini menggunakan pola eksekusi Miasma yang sama pada paket npm berbahaya tanpa bergantung pada resolusi modul Go atau logika build.
Socket menjelaskan, "Berbeda dengan paket npm, contoh ini tidak menggunakan binding.gyp. Risikonya adalah eksekusi di repositori sumber: pengembang yang mengkloning atau membuka repositori ini di IDE terpercaya atau lingkungan asisten pengkodean AI mungkin memicu payload melalui konfigurasi proyek."
"Ini menguatkan tema kampanye yang lebih besar: Miasma bergerak lintas ekosistem paket dengan menargetkan alur kerja pengembang, bukan sekadar hook instalasi pengelola paket."
Analisis Redaksi
Menurut pandangan redaksi, serangan malware Miasma ini menandai eskalasi signifikan dalam ancaman keamanan software supply chain yang tidak hanya menyasar paket populer dalam ekosistem npm dan Go, tetapi juga memanfaatkan alur kerja pengembang modern seperti GitHub Actions dan asisten pengkodean AI. Ini memperlihatkan bagaimana aktor jahat semakin canggih dalam menyusup ke lingkungan pengembangan dengan cara yang sulit dideteksi dan dipulihkan.
Akibatnya, dampak serangan ini tidak hanya terbatas pada pencurian kredensial, tapi juga potensi infiltrasi luas ke seluruh rantai distribusi perangkat lunak yang digunakan jutaan pengembang dan perusahaan di seluruh dunia. Pengembang dan organisasi harus meningkatkan pengawasan terhadap aktivitas paket dan repositori, memperketat manajemen token dan kredensial, serta menerapkan praktik keamanan berlapis.
Kejadian ini juga menggarisbawahi perlunya kolaborasi erat antara platform pengelola paket, penyedia layanan cloud, dan komunitas pengembang dalam mendeteksi dan menghentikan serangan rantai pasok yang semakin kompleks. Pembaca disarankan untuk terus mengikuti perkembangan terbaru dan menerapkan pembaruan keamanan yang direkomendasikan.
Untuk informasi lebih lanjut dan pembaruan terkini, kunjungi laporan asli di The Hacker News dan sumber terpercaya lainnya seperti CNN Indonesia Teknologi.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
:strip_icc():format(jpeg)/kly-media-production/medias/8471083/original/096968300_1782374102-IMG-20260625-WA0009.jpg)
