Paket npm dan Go Bajakan Gunakan Tugas VS Code untuk Sebar Infostealer Python

Peneliti keamanan siber baru-baru ini mengungkapkan adanya dua paket npm bajakan dan sejumlah paket Go yang menyebarkan malware infostealer berbasis Python pada sistem operasi Windows, Linux, dan macOS yang terinfeksi.

Serangan ini menghindari jalur eksekusi npm yang umum melalui skrip lifecycle, kemungkinan untuk mengelabui pembaruan keamanan npm versi 12 yang lebih ketat, menurut analisis teknis dari JFrog.

"Serangan ini menyembunyikan eksekusi di dalam tugas VS Code yang dikonfigurasi untuk berjalan otomatis ketika folder proyek dibuka di VS Code," jelas JFrog. "Dari situ, malware mengambil JavaScript terenkripsi dari data transaksi blockchain, terhubung ke infrastruktur yang dikendalikan penyerang, meluncurkan backdoor socket.io, dan akhirnya menyebarkan infostealer Python."

Paket npm Bajakan dan Teknik Penyembunyian

Paket npm yang teridentifikasi adalah html-to-gutenberg dan fetch-page-assets (yang memiliki html-to-gutenberg sebagai dependensi). Kedua paket ini diunggah ke npm pada 25 Mei 2026 dan kini sudah tidak tersedia lagi di registry.

Serangan dimulai dari tugas Microsoft Visual Studio Code (VS Code) tersembunyi bernama "eslint-check" yang dikonfigurasi dengan opsi runOn: 'folderOpen'. Ini memungkinkan eksekusi kode berbahaya ketika folder paket dibuka sebagai workspace di IDE seperti VS Code atau Cursor.

JFrog menambahkan, "Tugas ini tidak menjalankan setiap file tasks.json secara rekursif, melainkan hanya ketika direktori paket berbahaya dibuka sebagai workspace yang dipercaya atau ketika pengembang mengizinkan tugas otomatis." Payload disamarkan sebagai file font palsu public/fonts/fa-solid-400.woff2, padahal isinya adalah kode JavaScript berbahaya.

Asal Kampanye dan Modus Operandi Malware

Modus penyalahgunaan tugas auto-run VS Code dan penyamaran malware JavaScript sebagai file font ini diketahui berasal dari Korea Utara. Tim OpenSourceMalware yang melacak aktivitas ini dengan nama Fake Font menyebutnya sebagai varian dari kampanye lama Contagious Interview, yang menyasar pengembang dan teknisi melalui proses wawancara kerja palsu sejak 2023.

"Kampanye 'Fake Font' ini menggunakan loader multi-tahap yang akhirnya menyebarkan backdoor Python InvisibleFerret, yang dirancang untuk mencuri dompet cryptocurrency, kredensial browser, dan membangun akses persistent," kata peneliti keamanan Paul McCarty pada Januari lalu.

File font palsu ini menggunakan infrastruktur blockchain sebagai mekanisme dead drop resolver, memanfaatkan TronGrid dan Aptos sebagai fallback untuk mengambil payload JavaScript tahap selanjutnya secara tahan terhadap upaya penutupan.

Rantai Infeksi dan Fitur Backdoor

Payload JavaScript mengulangi pola pengambilan dead drop untuk mengatur server Command-and-Control (C2) yang memungkinkan pengunggahan file dan penyebaran malware Python. Backdoor socket.io yang dipasang memberikan kendali jarak jauh dengan kemampuan:

• Eksekusi shell
• Pengambilan clipboard
• Operasi sistem file
• Unggah file
• Manajemen proses
• Eksekusi JavaScript sembarangan

Selanjutnya, loader Python bertugas mengunduh infostealer yang mencuri berbagai kredensial yang tersimpan pada browser Chromium dan Mozilla Firefox, pengelola password, aplikasi autentikator, serta dompet cryptocurrency.

Malware ini juga mencuri data pengembang seperti kredensial Git, file konfigurasi GitHub CLI, log GitHub Desktop, serta data dari VS Code dan penyimpanan globalnya. Selain itu, ia menyasar penyimpanan kredensial OS seperti Windows Credential Manager, Linux Secret Service, KDE Wallet, hingga macOS Keychain. Metadata dari layanan cloud populer seperti Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Mega, dan pCloud juga turut diambil.

Pada tahap akhir, data yang terkumpul dikompresi dalam arsip ZIP dan dikirim ke server C2 serta ke bot Telegram jika token bot disediakan oleh penyerang saat runtime.

Serangan juga Menyerang Ekosistem Go

Tidak hanya npm, kampanye ini juga menargetkan ekosistem Go. Nextron Systems menemukan 16 paket Go yang terinfeksi malware serupa, di antaranya:

• github.com/lambda-platform/lambda
• github.com/reauheau/goaubio
• github.com/glacialspring/go-winsparkle
• github.com/bm-197/chill
• github.com/naol7/dist-task-scheduler
• github.com/anatoli-derese/a2sv-excercise
• github.com/amantsehay/a2sv-go-course
• github.com/dexbotsdev/uniswap-v2-v3-arbitrage
• github.com/lambda-platform/ebarimt-rest-api
• github.com/lambda-platform/dan
• github.com/zainirfan13/graphql-client
• github.com/hngi/team-fierce-backend-golang
• github.com/glacialspring/static
• github.com/rickt/slack-weather-bot
• github.com/Barsu5489/commerce
• github.com/Setsu548/Logistic

JFrog menyatakan sebagian besar paket tersebut adalah paket asli yang versi terbarunya sudah disusupi malware dengan struktur serupa dan file font palsu yang sama.

Imbauan Keamanan untuk Pengguna

Pengguna yang sudah menginstal paket-paket ini disarankan untuk segera menghapusnya, memeriksa komputer pengembang untuk tugas folder terbuka VS Code yang tersembunyi, dan melakukan rotasi kredensial, token, kredensial cloud, API key, serta kredensial browser dan dompet cryptocurrency.

Menurut JFrog, penyerang tertarik pada pencurian data instan sekaligus akses interaktif. Backdoor berbasis socket.io memungkinkan eksekusi perintah dan pengumpulan file, sementara tahap Python melakukan pencurian kredensial dan dompet secara luas dari berbagai sumber.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini menunjukkan evolusi teknik serangan rantai pasok yang semakin canggih dan menyasar pengembang perangkat lunak sebagai titik lemah. Dengan memanfaatkan fitur auto-run pada VS Code dan menggunakan metode penyamaran yang inovatif seperti file font palsu, penyerang berhasil menyusupkan malware tanpa terdeteksi oleh banyak alat keamanan tradisional.

Lebih jauh, penggunaan infrastruktur blockchain sebagai dead drop payload memperlihatkan bagaimana kelompok ancaman modern memanfaatkan teknologi terdesentralisasi untuk menghindari pemblokiran dan penutupan server C2. Ini menandai tantangan baru bagi tim keamanan untuk mengantisipasi dan menanggulangi serangan yang semakin tersembunyi dan kompleks.

Ke depannya, pengembang harus lebih berhati-hati dalam mengelola dependensi dan memperketat verifikasi paket yang digunakan, terutama dari sumber yang kurang dikenal. Pemeriksaan otomatis pada file konfigurasi IDE juga perlu menjadi bagian dari prosedur keamanan internal guna menghindari eksekusi kode berbahaya secara diam-diam.

Untuk informasi lebih lanjut dan pembaruan terkini mengenai serangan rantai pasok ini, pembaca dapat mengikuti laporan lengkapnya di The Hacker News dan berita-berita keamanan siber lainnya di CNN Indonesia Teknologi.