Paket NPM Terkait Korea Utara Tirukan Rollup Polyfills untuk Curi Rahasia Developer

Jul 3, 2026 - 23:30
 0  2
Paket NPM Terkait Korea Utara Tirukan Rollup Polyfills untuk Curi Rahasia Developer

Kelompok ancaman yang diduga terkait dengan Korea Utara kembali melakukan serangan siber melalui paket npm berbahaya yang menyamar sebagai alat Rollup polyfill. Tujuan utama serangan ini adalah mendapatkan akses jarak jauh dan mencuri rahasia penting milik para developer perangkat lunak.

Ad
Ad

Paket NPM Tiruan dengan Teknik Penyamaran Canggih

Berdasarkan laporan dari JFrog, dua paket npm bernama "rollup-packages-polyfill-core" dan "rollup-runtime-polyfill-core" dibuat sangat mirip dengan proyek asli rollup-plugin-polyfill-node. Penyusup meniru deskripsi, metadata repositori, hingga struktur paket sehingga terlihat sah saat dilihat sekilas oleh para pengembang.

"Paket tiruan ini menempati ruang nama rollup, polyfill, core, dan node yang sama, membuatnya terlihat kredibel selama pengecekan dependensi cepat," ujar JFrog dalam tulisan teknisnya.

Selain itu, kampanye ini melibatkan empat paket lain yang sudah dihapus dari registry npm, yaitu:

  • quirky-token
  • react-icon-svgs
  • rollup-plugin-polyfill-connect
  • swift-parse-stream

Yang menarik, paket "rollup-packages-polyfill-core" secara otomatis menginstal dan memuat "swift-parse-stream", sedangkan "rollup-runtime-polyfill-core" menginstal "quirky-token". Paket react-icon-svgs juga memuat rollup-plugin-polyfill-connect sebagai tahap kedua.

Struktur bertingkat ini memungkinkan eksekusi tersembunyi dengan mekanisme pemeriksaan lingkungan seperti sandbox dan pengambilan data JSON dari JSONKeeper yang kemudian dieksekusi sebagai kode JavaScript berbahaya.

Modus Operandi dan Dampak Serangan

Serangan bermula dari perintah npm install yang dikodekan dalam Base64 tersembunyi di dalam paket tiruan. Paket tahap kedua yang menyerupai utilitas sanitasi SVG ini mengunduh dan menjalankan malware JavaScript dari URL JSONKeeper.

Malware tersebut melakukan pemeriksaan lingkungan agar tidak berjalan di cloud development, sandbox, atau lingkungan analisis. Setelah lolos, malware mengunduh payload terenkripsi dari server eksternal 216.126.236[.]244 yang berfungsi sebagai loader skrip tambahan.

Skrip tambahan ini memungkinkan:

  • Akses jarak jauh dengan terminal interaktif
  • Eksekusi perintah dan pengambilan screenshot
  • Kontrol mouse dan keyboard khusus Windows menggunakan paket @nut-tree-fork/nut-js
  • Pencurian data dari browser dan dompet kripto
  • Pengumpulan file dengan ekstensi tertentu serta pencatatan clipboard secara berkala

Fitur ini serupa dengan malware OtterCookie yang juga menggunakan @nut-tree-fork/nut-js, ditemukan dalam paket express-session-js yang diungkap SafeDep pada April 2026.

Selain itu, malware ini menargetkan file konfigurasi pengembangan dan AI seperti AWS, Microsoft Azure, Google Gemini, Anthropic Claude, serta riwayat editor Visual Studio Code, Windsurf, dan Cursor.

Risiko Serangan pada Lingkungan Developer dan Rantai Pasokan Software

JFrog menegaskan, plugin Rollup biasanya dimuat dari konfigurasi lokal, workstation developer, dan proses CI/CD yang memiliki akses ke banyak rahasia penting seperti token npm, kredensial Git, kunci SSH, dan data cloud.

"Payload ini bukan sekadar downloader sederhana. Setelah tahap lanjut berjalan, penyerang memiliki kemampuan pengumpulan data dan kontrol penuh," jelas JFrog. "Hal ini sangat berbahaya bagi workstation developer dan mesin build yang menyimpan banyak kunci API dan kredensial penting."

Serangkaian Serangan Rantai Pasokan Terbaru yang Terungkap

Pengungkapan ini berbarengan dengan temuan serangan rantai pasokan perangkat lunak lain oleh Checkmarx, SafeDep, dan peneliti AWS Chi Tran, yang menyasar repositori paket open-source untuk mencuri data berharga, antara lain:

  1. Serangkaian delapan fork pyrogram berbahaya dengan backdoor remote control yang mengeksekusi kode Python arbitrer dan mengirim hasilnya via Telegram (Operation Navy Ghost oleh Checkmarx).
  2. 30 paket npm yang meniru alat Polymarket dan pustaka matematika, menargetkan developer DeFi dengan malware pencuri informasi kripto dan kredensial.
  3. 25 paket npm di bawah scope @marketfront yang mengandung postinstall credential harvester mencuri beragam file kredensial penting.
  4. Paket Python security-alerts-sdk yang menyamar sebagai alat monitoring tapi berisi backdoor untuk mencuri kunci SSH, token AWS, dan data kredensial lainnya.
  5. 15 paket npm berbahaya yang menjalankan payload postinstall untuk mengunduh dan menjalankan binary Rust yang mencuri data wallet kripto, browser, dan kredensial cloud.
  6. Paket events-runtime yang meniru paket events dan mengaktifkan pencurian wallet kripto, pengiriman data ke Slack dan Telegram, serta menggunakan Ethereum smart contract sebagai dead drop.
  7. Paket o3forms yang mencuri kredensial cloud, melakukan reconnaissance jaringan internal, dan mengirim data ke endpoint Cloudflare yang dikontrol penyerang.

Langkah Pencegahan dan Rekomendasi

Pengguna yang telah menginstal paket-paket tersebut disarankan untuk segera menghapusnya, menganggap sistem telah terkompromi, mengganti semua kredensial, memblokir jalur komunikasi berbahaya, dan mengaktifkan pemindaian dependensi otomatis dalam pipeline CI/CD untuk mendeteksi paket mencurigakan.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini menegaskan bahwa rantai pasokan perangkat lunak open-source semakin menjadi target utama aktor negara dengan kemampuan tinggi seperti Korea Utara. Dengan menyusup ke ekosistem npm yang sangat luas dan digunakan jutaan developer, ancaman ini bukan hanya soal kehilangan data, melainkan juga potensi sabotase sistem dan pencurian intelektual berskala besar.

Teknik penyamaran yang sangat canggih dengan paket tiruan yang hampir identik dan eksekusi tersembunyi memperlihatkan tingkat keahlian yang tinggi dan kesiapan penyerang dalam mengelabui mekanisme keamanan konvensional. Hal ini menuntut para developer dan organisasi untuk memperkuat pengawasan rantai pasokan serta menerapkan kebijakan keamanan berlapis, termasuk penggunaan alat deteksi otomatis dan audit manual secara berkala.

Ke depan, pembaca harus mewaspadai kemunculan paket-paket baru dengan nama mirip dan metadata yang tampak sah, serta memperhatikan anomali perilaku di lingkungan pengembangan mereka. Kolaborasi komunitas open-source dan penyedia platform seperti npm sangat krusial untuk memperketat verifikasi paket dan mencegah serangan serupa.

Untuk informasi lebih lanjut dan update terkini, baca laporan lengkapnya di The Hacker News dan pantau berita keamanan siber terpercaya.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad