148 Paket NPM Berkedok Proksi Pelajar Ubah Browser Jadi Botnet DDoS
Baca dalam 60 detik
- Peneliti JFrog menemukan 148 paket NPM palsu yang menyamar sebagai proksi web untuk pelajar, yang secara diam-diam mengubah browser pengunjung menjadi bagian dari botnet DDoS.
- Paket-paket tersebut tidak menargetkan pengembang, melainkan memanfaatkan registry NPM sebagai hosting gratis untuk menyebarkan kode berbahaya yang aktif saat halaman proksi dibuka di browser.
- Kampanye ini berlangsung sekitar dua minggu pada Mei 2026, dengan kemampuan serangan yang masih bisa diaktifkan kembali kapan saja melalui pembaruan repositori GitHub.

Sebanyak 148 paket perangkat lunak di registry NPM yang menyamar sebagai proksi web untuk pelajar ternyata menyembunyikan muatan berbahaya yang mengubah browser pengunjung menjadi alat serangan distributed denial-of-service (DDoS) tanpa sepengetahuan mereka. Temuan dari perusahaan keamanan siber JFrog mengungkap bahwa kampanye ini berlangsung sekitar dua minggu pada bulan Mei 2026, memanfaatkan lalu lintas siswa yang mencoba memblokir situs sekolah.
Berbeda dengan serangan rantai pasok perangkat lunak pada umumnya yang menarget pengembang saat instalasi, paket-paket ini tidak dirancang untuk diimpor ke dalam proyek. Para pelaku justru menggunakan registry NPM sebagai tempat hosting gratis untuk situs proksi yang telah dijebak. Pengunjung yang datang untuk menghindari filter web sekolah secara tidak sadar menyuplai lalu lintas serangan. Paket-paket tersebut diberi nama seperti charlie-kirk, ilovefemboys, dan miguelphonk, masing-masing membawa aplikasi proksi bernama "Lucide" yang dikemas sebagai halaman bimbingan belajar palsu.
Analisis JFrog mengungkap bahwa di balik tampilan proksi yang berfungsi normal, terdapat dua modul berbahaya yang aktif sebelum antarmuka React dirender. Modul pertama, yang disebut G2, adalah pemuat skrip jarak jauh yang mengambil kode dari repositori GitHub melalui CDN jsDelivr tanpa pemeriksaan integritas. Siapa pun yang menguasai akun GitHub tersebut dapat mengubah kode yang dijalankan di browser setiap saat. Modul kedua, I2, mengambil file teks berisi URL WebSocket target dan jumlah koneksi, lalu membuka hingga 1.024 koneksi secara bertahap untuk membanjiri server Wisp.
Serangan ini tidak hanya menargetkan server proksi lain, tetapi juga sebuah sekolah keperawatan di Matteson, Illinois. Setiap browser yang terinfeksi mengirimkan sekitar 2 MB data per detik, sehingga dengan seribu tab proksi terbuka, lalu lintas serangan bisa mencapai 2 GB per detik. Menurut JFrog, operator kampanye ini masih dapat mengaktifkan kembali kemampuan DDoS kapan saja hanya dengan satu komit ke repositori GitHub, tanpa perlu memperbarui paket NPM.
Konteks Indonesia: Meskipun serangan ini menargetkan server di luar negeri, ancaman serupa dapat terjadi di Indonesia mengingat banyaknya siswa yang menggunakan proksi untuk mengakses situs yang diblokir sekolah. Administrator jaringan di sekolah dan perusahaan di Indonesia disarankan untuk memblokir domain-domain yang terkait dengan kampanye ini di tingkat DNS. Pengguna yang pernah mengakses situs proksi mencurigakan harus membersihkan cache browser dan menghapus service worker yang tidak dikenal.
Menurut JFrog, operator kampanye ini diperkirakan masih muda, berdasarkan nama paket yang kekanak-kanakan dan komentar seperti "TY WAVES + CHATGPT ILY" yang ditemukan dalam kode. Salah satu akun berhasil mengunggah 116 paket dalam waktu kurang dari 35 menit tanpa hambatan dari NPM. Meskipun sebagian besar paket telah ditarik, beberapa seperti charlie-kirk masih tersedia dalam versi berbahaya.
Kampanye ini menunjukkan bahwa registry publik seperti NPM dapat disalahgunakan sebagai CDN gratis untuk menyebarkan kode berbahaya yang tidak pernah diinstal melalui pipeline build. Pertanyaannya kini: bagaimana registry dan platform distribusi perangkat lunak dapat mencegah penyalahgunaan semacam ini tanpa menghambat akses terbuka yang menjadi fondasi ekosistem pengembangan modern?



