Sebuah serangan siber besar-besaran yang menargetkan rantai pasok telah melanda ekosistem npm, gudang paket kode terbesar di dunia. Ancaman kali ini sangat berbahaya: sebuah malware yang mampu mereplikasi diri dan menyebar layaknya worm. Laporan awal menyebutkan paket populer @ctrl/tinycolor menjadi korban, dengan jumlah paket yang terkompromi kini membengkak hingga lebih dari 180.

Serangan ini dimulai pada 14 September 2025, dengan paket rxnt-authentication menjadi paket berbahaya pertama yang teridentifikasi. Dengan kemampuannya yang unik untuk menyebar sendiri, malware ini menjadi salah satu worm pertama yang beroperasi melalui ekosistem npm, mencuri data sensitif dan menanamkan dirinya ke dalam paket-paket lain.

Baca Juga: Serangan Malware Worm Menyebar di Ekosistem npm, Ratusan Paket Kode Terinfeksi

Secara teknis, malware ini menjalankan serangkaian aksi yang terorganisir untuk mencuri data dan kemudian menyebarkan dirinya sendiri secara luas:

1. Memindai Data Sensitif: Ia memindai sistem yang terinfeksi (termasuk mesin pengembang dan lingkungan integrasi berkelanjutan) untuk mencari rahasia penting seperti kata sandi, kunci cloud, dan token. Malware ini menggunakan alat pencari kredensial seperti TruffleHog dan mengambil data dari endpoint AWS, Google Cloud, dan Azure.
2. Mengeksfiltrasi Data: Data curian kemudian dibuang ke repositori GitHub publik bernama "Shai-Hulud" dalam bentuk file JSON. File ini berisi detail sistem, variabel lingkungan, dan rahasia yang dicuri.
3. Membuat Backdoor: Malware juga menanamkan GitHub Actions workflow berbahaya yang mengumpulkan rahasia repositori dan mengirimkannya ke webhook yang dikendalikan oleh penyerang.
4. Menyebar: Untuk menyebarkan diri, ia mencari token npm yang valid dan menggunakannya untuk secara otomatis menerbitkan kembali paket-paket lain yang dikelola oleh pengembang yang terkompromi dengan menyuntikkan kode berbahaya.
5. Membuat Repositori Publik: Sebagai langkah akhir, malware ini membuat repositori privat menjadi publik atau menambahkan branch baru, yang secara efektif menyebarkan worm ke seluruh ekosistem.

Rekomendasi dan Langkah Mitigasi

Mengingat skala serangan ini, organisasi dan pengembang yang menggunakan npm dalam alur kerja mereka harus segera mengambil langkah-langkah pencegahan.

1. Periksa Akun GitHub: Segera tinjau akun GitHub Anda untuk aktivitas mencurigakan. Cari repositori publik yang tidak disengaja atau repositori baru dengan deskripsi "Shai-Hulud Migration" serta branch yang baru dibuat dengan nama "Shai-Hulud."
2. Hapus Paket yang Terinfeksi: Periksa dan hapus versi paket npm yang terinfeksi dari lingkungan Anda. Disarankan untuk menghapus dan menginstal ulang semua paket npm secara keseluruhan untuk memastikan tidak ada dependensi malware yang tersisa.
3. Ganti Semua Kredensial: Semua kredensial yang dapat diakses dari perangkat yang terinfeksi harus segera diganti. Ini termasuk, namun tidak terbatas pada, kredensial AWS, Google Cloud, Azure, token autentikasi npm, kunci API, kunci SSH, dan kredensial basis data.
4. Blokir Koneksi Mencurigakan: Pantau koneksi keluar (outbound) yang tidak biasa. Dalam kampanye ini, pelaku terlihat membuat koneksi ke webhook[.]site. Jika Anda tidak menggunakan layanan ini, pertimbangkan untuk memblokir domain tersebut di jaringan Anda.

Langkah-langkah ini sangat penting untuk meminimalkan kerusakan dan mencegah penyebaran lebih lanjut dari worm berbahaya ini.