Serangan Rantai Pasok Jscrambler: 1.479 Unduhan Berisi Pencuri Kredensial Lintas Platform
Baca dalam 60 detik
- Aktor ancaman menyusupkan kode berbahaya ke dalam beberapa versi paket NPM Jscrambler, menargetkan pengembang dan operator cloud.
- Malware berbasis Rust ini mampu mencuri kredensial, dompet kripto, konfigurasi AI, dan data sesi dari berbagai sistem operasi.
- Jscrambler telah mencabut kredensial yang disusupi dan menerapkan kontrol keamanan tambahan, namun pengguna diminta segera memindai sistem.

Sebanyak 1.479 unduhan paket NPM Jscrambler yang telah disusupi tercatat sebelum versi berbahaya tersebut ditarik, menjadikannya salah satu insiden rantai pasok yang menyasar ekosistem pengembangan perangkat lunak. Serangan yang berlangsung sejak 11 Juli lalu ini memanfaatkan kredensial penerbitan yang bocor untuk menyuntikkan pencuri kredensial lintas platform ke dalam pustaka populer yang digunakan untuk melindungi kode JavaScript.
Jscrambler, perusahaan keamanan siber yang menyediakan solusi perlindungan kode untuk aplikasi web dan seluler, mengonfirmasi bahwa aktor ancaman berhasil memublikasikan versi modifikasi dari paket NPM mereka. Versi yang terpengaruh meliputi 8.16, 8.17, 8.18, dan 8.20, sementara versi bersih pertama adalah 8.22. Tidak hanya paket utama, insiden ini juga merembet ke dependensi lain seperti Jscrambler-webpack-plugin, gulp-Jscrambler, grunt-Jscrambler, dan Jscrambler-metro-plugin.
Menurut firma keamanan rantai pasok Socket, paket berbahaya tersebut mengandung hook pra-instal yang memicu rantai infeksi. Saat pengembang menginstal paket, file setup.js akan dijalankan untuk memuat dan mengeksekusi biner spesifik platform dari intro.js. Biner yang ditulis dalam bahasa Rust ini dirancang sebagai pencuri informasi yang menyasar kredensial dan rahasia pada mesin pengembang dan operator cloud, dompet serta frasa pemulihan mata uang kripto, asisten coding AI dan konfigurasi server MCP, aplikasi perpesanan dan kolaborasi, peramban, sesi Steam, serta keyring sistem operasi.
Socket juga mengamati bahwa malware berusaha meningkatkan hak aksesnya, mencapai persistensi, dan melakukan pengintaian terhadap host. Data yang dicuri kemudian dieksfiltrasi melalui TLS menggunakan rustls, kemungkinan menuju server drop. Selain itu, malware membuat permintaan untuk menanyai API cloud dan orkestrasi menggunakan kredensial curian.
Jscrambler menyatakan bahwa mereka telah mencabut dan memutar ulang semua kredensial, kata sandi, dan rahasia yang relevan, serta menerapkan kontrol keamanan tambahan pada proses penerbitan. โInvestigasi kami menunjukkan bahwa penyerang berhasil menerbitkan paket menggunakan kredensial penerbitan NPM. Kami telah mencabut dan memutar semua kredensial yang relevan,โ demikian pernyataan resmi Jscrambler.
Bagi ekosistem pengembangan di Indonesia, insiden ini menjadi pengingat akan kerentanan rantai pasok perangkat lunak. Banyak pengembang dan perusahaan teknologi di tanah air yang menggunakan pustaka NPM dalam proyek mereka, termasuk Jscrambler untuk melindungi aplikasi. Serangan semacam ini dapat membahayakan tidak hanya proyek individu, tetapi juga seluruh infrastruktur yang bergantung pada pustaka yang terkompromi. Pengembang di Indonesia disarankan untuk segera memeriksa apakah mereka menggunakan versi paket yang terpengaruh, menghapusnya, memindai sistem dengan alat keamanan, dan memutar semua kredensial serta token API.
Ke depan, insiden ini menimbulkan pertanyaan tentang seberapa aman proses penerbitan paket di registry publik seperti NPM. Meskipun Jscrambler telah mengambil langkah korektif, serangan serupa dapat terjadi lagi jika mekanisme otentikasi dan otorisasi tidak diperkuat. Apakah ekosistem pengembangan global akan beralih ke praktik verifikasi dua langkah yang lebih ketat untuk setiap penerbitan paket?



