Serangan GlassWorm Gunakan Token GitHub Curian untuk Suntik Malware ke Repositori Python

Serangan GlassWorm kini menjadi ancaman serius di dunia keamanan siber dengan modus operandi memanfaatkan token GitHub yang dicuri untuk menyuntikkan malware ke ratusan repositori Python. Kampanye berbahaya ini telah berlangsung sejak 8 Maret 2026 dan menargetkan proyek-proyek Python penting seperti aplikasi Django, kode riset machine learning, dasbor Streamlit, hingga paket PyPI.

Bagaimana Serangan GlassWorm Menyusup ke Repositori Python

Menurut perusahaan keamanan rantai pasok perangkat lunak StepSecurity, modus serangan ini adalah dengan menambahkan kode obfuscated (disamarkan) ke dalam file-file Python populer seperti setup.py, main.py, dan app.py. Siapa pun yang menjalankan pip install dari repositori yang terinfeksi atau mengkloning lalu menjalankan kodenya, tanpa sadar akan mengaktifkan malware ini.

Para penyerang berhasil mendapatkan akses ke akun pengembang dengan menginfeksi sistem mereka menggunakan malware GlassWorm yang disebarkan melalui ekstensi berbahaya di VS Code dan Cursor. Malware ini memiliki komponen khusus untuk mencuri rahasia seperti token GitHub.

Metode Serangan ForceMemo: Teknik Baru GlassWorm

Varian baru GlassWorm yang dinamai ForceMemo ini menggunakan metode force-push untuk memasukkan kode jahat ke repositori tanpa meninggalkan jejak seperti permintaan pull request atau catatan commit yang biasa terlihat di UI GitHub. Serangan ini melibatkan empat langkah utama:

1. Infeksi sistem pengembang dengan GlassWorm melalui ekstensi VS Code berbahaya yang mencuri token GitHub.
2. Memanfaatkan token yang dicuri untuk melakukan force-push perubahan malware ke repositori Python yang dikelola akun tersebut, dengan melakukan rebase pada commit asli sehingga pesan dan penulis commit tetap sama.
3. Payload malware yang dikodekan dalam Base64 ditambahkan pada akhir file Python dan memiliki mekanisme untuk mendeteksi apakah sistem menggunakan lokal Rusia; jika ya, malware tidak akan berjalan.
4. Malware kemudian mengakses memo transaksi di dompet Solana tertentu yang sebelumnya terhubung dengan GlassWorm untuk mengambil URL payload tambahan yang akan diunduh, termasuk JavaScript terenkripsi untuk mencuri cryptocurrency dan data.

StepSecurity mengungkap bahwa alamat dompet Solana yang digunakan untuk kontrol dan perintah (C2) telah aktif sejak 27 November 2025, lebih dari tiga bulan sebelum injeksi ke repositori GitHub dimulai. Alamat tersebut sudah melakukan sekitar 50 transaksi, dengan pengelola malware sering memperbarui URL payload, terkadang beberapa kali sehari.

Implikasi Serangan dan Evolusi Teknik GlassWorm

Socket, perusahaan keamanan lainnya, menemukan iterasi GlassWorm yang meningkatkan kemampuan bertahan dan penghindaran dengan menggunakan model distribusi transitif melalui extensionPack dan extensionDependencies. Sementara itu, Aikido Security mengaitkan penulis GlassWorm dengan kampanye masif yang menginfeksi lebih dari 151 repositori GitHub dengan kode berbahaya yang disamarkan melalui karakter Unicode tak terlihat.

Menariknya, payload yang terdekripsi di semua kasus tersebut mengambil instruksi dari dompet Solana yang sama, membuktikan bahwa aktor ancaman ini menjalankan serangan berlapis dengan metode dan teknik berbeda namun infrastruktur backend yang konsisten.

Menurut StepSecurity, teknik force-push yang digunakan oleh GlassWorm untuk menyuntikkan malware merupakan sesuatu yang belum pernah terdokumentasi sebelumnya dalam kampanye rantai pasok perangkat lunak. Dengan teknik ini, penyerang dapat mengubah sejarah git tanpa mengubah metadata commit sehingga sulit dideteksi oleh pengembang dan sistem keamanan GitHub.

Analisis Redaksi

Menurut pandangan redaksi, serangan GlassWorm ini menunjukkan eskalasi signifikan dalam cara aktor ancaman memanfaatkan ekosistem pengembangan perangkat lunak open source. Dengan menyasar token GitHub yang biasanya dianggap sebagai kunci akses penting, penyerang mampu mengambil alih kontrol penuh atas repositori, mengubah kode asli, dan menyebarkan malware secara luas tanpa terdeteksi.

Ini bukan hanya soal malware biasa, melainkan ancaman serius terhadap security supply chain yang dapat berdampak pada ratusan proyek dan jutaan pengguna. Pengembang harus semakin waspada terhadap keamanan akun mereka, terutama dalam menggunakan ekstensi editor kode dan mengelola token akses. Sementara itu, platform seperti GitHub perlu meningkatkan mekanisme deteksi dan peringatan terhadap aktivitas force-push yang mencurigakan, terutama yang mengubah riwayat commit secara tersembunyi.

Ke depan, penting untuk memantau bagaimana aktor ancaman GlassWorm mengadaptasi taktik mereka, terutama mengingat kemampuan mereka melakukan penyebaran malware lewat berbagai metode dan obfuscation. Pengguna GitHub dan komunitas open source harus aktif mengadopsi praktik keamanan yang lebih ketat dan memperbarui alat keamanan mereka untuk menghadapi ancaman yang terus berkembang ini.

Untuk informasi terbaru dan perkembangan lebih lanjut tentang serangan GlassWorm dan ancaman rantai pasok perangkat lunak lainnya, tetap ikuti sumber berita terpercaya dan lakukan langkah keamanan proaktif di lingkungan pengembangan Anda.