Serangan Rantai Pasok Trivy Picu CanisterWorm yang Menyebar Sendiri di 47 Paket npm

Serangan rantai pasok yang menargetkan pemindai Trivy kini memicu penyebaran CanisterWorm, sebuah worm yang mampu menyebar sendiri dan menginfeksi 47 paket npm. Malware ini menggunakan command-and-control (C2) berbasis ICP canister dari blockchain Internet Computer sebagai dead drop resolver, menandai kali pertama ICP canister disalahgunakan untuk tujuan ini secara publik.

Penjelasan CanisterWorm dan Dampaknya pada Paket npm

Menurut peneliti keamanan dari Aikido Security, Charlie Eriksen, CanisterWorm memanfaatkan teknologi smart contract ICP yang tidak dapat dimanipulasi untuk mengontrol URL payload yang akan diunduh oleh backdoor. Berikut rincian paket npm yang terinfeksi:

• 28 paket dalam scope @EmilGroup
• 16 paket dalam scope @opengov
• Paket @teale.io/eslint-config, @airtm/uuid-base32, dan @pypestream/floating-ui-dom

Serangan ini menyusul insiden sebelumnya di mana pelaku berhasil mengunggah rilis Trivy, trivy-action, dan setup-trivy yang termodifikasi berisi pencuri kredensial, diduga dilakukan oleh kelompok kriminal siber bernama TeamPCP.

Bagaimana CanisterWorm Menyebar dan Mempertahankan Akses

Rantai infeksi dimulai dari postinstall hook pada paket npm yang menjalankan loader, lalu mengunduh backdoor Python yang berfungsi menghubungi ICP canister untuk mengambil URL payload berikutnya. Infrastruktur ini terdesentralisasi sehingga sulit dilumpuhkan.

"Pengendali canister dapat mengganti URL kapan saja, mengirimkan binary baru ke semua host yang terinfeksi tanpa menyentuh implantnya," jelas Eriksen.

Backdoor ini menjaga keberlanjutan dengan membuat systemd user service bernama "pgmon" yang menyamar sebagai alat PostgreSQL, dan secara otomatis memulai kembali proses backdoor jika dihentikan.

Setiap 50 menit, backdoor mengirim permintaan ke ICP canister dengan User-Agent browser palsu untuk mendapatkan URL payload terbaru. Menariknya, jika URL tersebut mengarah ke youtube[.]com, skrip akan melewatinya, menandakan keadaan "tidur" malware. Pelaku bisa mengaktifkan atau menonaktifkan malware dengan mengubah URL ini.

Varian Baru yang Menyebar Otomatis Tanpa Intervensi Manual

Varian baru CanisterWorm yang ditemukan dalam paket @teale.io/eslint-config versi 1.8.11 dan 1.8.12 mampu menyebar sendiri tanpa perlu pelaku menjalankan skrip secara manual. Perbedaannya, skrip postinstall kini memanggil fungsi findNpmTokens() yang secara otomatis mencari token npm dari lingkungan pengembang korban.

Setelah backdoor dipasang, skrip ini langsung menjalankan deploy.js sebagai proses latar belakang yang menyebarkan malware ke paket lain yang dapat diakses dengan token tersebut.

Eriksen menjelaskan, "Ini adalah titik di mana serangan berubah dari 'akun kompromi mengunggah malware' menjadi 'malware itu sendiri yang mengkompromikan akun lain dan menyebarkan dirinya.' Setiap pengembang atau pipeline CI yang memiliki token npm dan menginstal paket ini menjadi vektor penyebaran tanpa sadar."

Teknologi dan Teknik Serangan

• ICP Canister: Berfungsi sebagai server C2 yang tahan sensor dan tak mudah dimatikan karena desentralisasi.
• Postinstall Hook: Memungkinkan eksekusi skrip berbahaya saat instalasi paket.
• Systemd Service: Mengamankan persistensi malware dengan restart otomatis dan penyamaran sebagai alat sah.
• Token npm: Digunakan untuk menyebarkan malware secara otomatis ke paket lain yang dimiliki pengembang.
• Kill Switch YouTube: URL YouTube berfungsi sebagai sinyal untuk menonaktifkan payload malware.

Analisis Redaksi

Menurut pandangan redaksi, serangan ini menunjukkan eskalasi signifikan dalam teknik supply chain attack yang semakin canggih dengan memanfaatkan teknologi blockchain untuk mengelabui sistem keamanan tradisional. Penggunaan ICP canister sebagai C2 adalah inovasi berbahaya yang mempersulit deteksi dan mitigasi karena sifatnya yang terdesentralisasi dan tidak bergantung pada server konvensional.

Implikasi jangka panjangnya adalah potensi penyebaran malware yang lebih luas dan sulit dihentikan, terutama dalam ekosistem open source seperti npm yang menjadi tulang punggung banyak proyek perangkat lunak. Ini menuntut pengembang dan organisasi untuk meningkatkan pengamanan kredensial dan memantau secara ketat aktivitas paket yang digunakan dalam proyek mereka.

Kedepannya, penting bagi komunitas keamanan dan pengelola registri paket untuk mengembangkan metode deteksi dini dan pembatasan akses token secara efektif. Pengguna npm juga harus segera melakukan audit keamanan dan waspada terhadap paket yang mengandung skrip postinstall mencurigakan.

Serangan ini menjadi peringatan keras tentang risiko rantai pasok perangkat lunak yang kini tidak hanya mengandalkan teknik tradisional, tapi juga memanfaatkan teknologi blockchain untuk memperkuat malware mereka. Selalu perbarui informasi keamanan Anda dan waspada terhadap ancaman baru yang terus berkembang.

(Cerita ini masih berkembang. Pantau terus sumber berita terpercaya untuk pembaruan terbaru.)