keamanan siber malware Bitwarden npm supply chain attack GitHub kredensial CLI JFrog Checkmarx

Serangan Malware Tersembunyi dalam CLI Bitwarden

Pada tanggal 22 April 2024, sebuah paket berbahaya bernama @bitwarden/[email protected] muncul di repositori npm dengan kedok sebagai versi resmi dari Bitwarden Command-Line Interface (CLI). Selama 93 menit, siapa pun yang mengunduh CLI melalui npm tanpa sadar menerima versi palsu yang telah disusupi malware.

Bitwarden berhasil mendeteksi kompromi ini dan segera menghapus paket berbahaya tersebut. Dalam pernyataan resmi, Bitwarden menyatakan tidak menemukan bukti bahwa penyerang berhasil mengakses data vault pengguna atau sistem produksi mereka. Namun, analisis lebih lanjut oleh firma keamanan JFrog mengungkapkan bahwa malware tersebut tidak menargetkan data Bitwarden, melainkan mencuri berbagai jenis kredensial penting yang digunakan dalam infrastruktur pengembangan perangkat lunak.

Kredensial yang Ditargetkan dan Dampaknya

Malware ini dirancang untuk mencuri berbagai jenis kredensial yang tersebar di lingkungan pengembangan, seperti:

  • Token GitHub: Digunakan untuk mengakses repositori, mengotomatisasi alur kerja, dan melakukan pergerakan lateral melalui sistem otomatisasi.
  • Token npm: Berpotensi digunakan untuk menerbitkan paket berbahaya atau memodifikasi alur rilis perangkat lunak.
  • Kunci SSH: Memberikan akses ke server, repositori internal, dan infrastruktur penting.
  • Riwayat Shell: Dapat mengungkap perintah rahasia, nama host internal, dan detail alur kerja yang sensitif.
  • Kredensial AWS, GCP, dan Azure: Memungkinkan akses ke beban kerja cloud, sistem penyimpanan, dan jalur otomatisasi deployment.
  • Rahasia GitHub Actions: Memberikan akses ke alur CI/CD, output build, dan deployment yang berpotensi berbahaya.
  • Konfigurasi Alat AI: Dapat mengekspos kunci API, endpoint internal, dan pengaturan model yang sensitif.

Mekanisme Serangan dan Dampak Potensial

Menurut analisis JFrog, malware ini memanipulasi preinstall hook dan bw binary entrypoint untuk memuat runtime Bun dan menjalankan payload yang dienkripsi. Serangan ini diaktifkan baik saat instalasi maupun saat runtime, memungkinkan malware untuk secara sistematis mengumpulkan kredensial tanpa memerlukan akses ke kata sandi yang disimpan.

Sebuah organisasi yang menjalankan CLI palsu ini mungkin tidak menyadari adanya kompromi, sementara malware secara diam-diam mengumpulkan kredensial yang mengatur pipeline CI, akun cloud, dan sistem otomatisasi deployment mereka. Hal ini dapat menyebabkan kerugian besar, termasuk akses tidak sah ke infrastruktur kritis, pencurian data, atau serangan rantai pasokan (supply chain attack).

Investigasi dan Hubungan dengan Kampanye Supply Chain

Firma keamanan Socket mengungkapkan bahwa serangan ini tampaknya memanfaatkan GitHub Action yang dikompromikan dalam pipeline CI/CD Bitwarden. Temuan ini konsisten dengan pola serangan yang telah dilacak oleh peneliti Checkmarx. Bitwarden sendiri telah mengonfirmasi bahwa insiden ini terkait dengan kampanye supply chain yang lebih luas yang sedang dipantau oleh Checkmarx.

Mengapa Serangan Ini Berbahaya?

Bitwarden melayani lebih dari 50.000 bisnis dan 10 juta pengguna di seluruh dunia. CLI Bitwarden sendiri dipromosikan sebagai alat yang “powerful dan fully-featured” untuk mengelola vault, termasuk dalam alur kerja otomatis yang menggunakan variabel lingkungan untuk autentikasi. Bitwarden juga merekomendasikan npm sebagai metode instalasi yang paling sederhana dan disukai bagi pengguna yang sudah terbiasa dengan registry tersebut.

Kombinasi antara penggunaan otomatisasi, instalasi di mesin pengembang, dan distribusi resmi melalui npm menempatkan CLI Bitwarden di lokasi yang strategis bagi pencurian kredensial bernilai tinggi. Dengan kata lain, serangan ini tidak hanya membahayakan pengguna Bitwarden, tetapi juga seluruh ekosistem infrastruktur yang bergantung pada kredensial tersebut.

Langkah-Langkah Keamanan yang Dapat Dilakukan

Untuk mencegah serangan serupa di masa depan, para ahli keamanan merekomendasikan beberapa langkah penting:

  • Verifikasi Integritas Paket: Selalu periksa tanda tangan digital dan hash paket sebelum instalasi.
  • Gunakan Autentikasi OIDC: Mengganti token npm jangka panjang dengan autentikasi berbasis OIDC untuk mengurangi risiko kompromi.
  • Pantau Aktivitas mencurigakan: Gunakan alat pemantauan untuk mendeteksi aktivitas aneh dalam pipeline CI/CD atau mesin pengembang.
  • Pembatasan Hak Akses: Terapkan prinsip hak akses minimum (least privilege) untuk semua kredensial dan token.
  • Edukasi Pengguna: Pastikan tim pengembangan memahami risiko serangan supply chain dan cara mengidentifikasi paket berbahaya.

Kesimpulan

Serangan terhadap Bitwarden CLI melalui npm menunjukkan betapa rentannya rantai pasokan perangkat lunak terhadap serangan siber. Meskipun Bitwarden berhasil mendeteksi dan menangani insiden ini dengan cepat, serangan semacam ini menyoroti pentingnya keamanan yang proaktif dalam ekosistem pengembangan perangkat lunak modern. Dengan meningkatnya penggunaan alat otomatisasi dan cloud, risiko pencurian kredensial dan serangan supply chain akan terus menjadi ancaman yang signifikan bagi organisasi di seluruh dunia.

Para pengembang dan perusahaan harus lebih waspada dalam memilih dan mengelola alat serta kredensial yang digunakan, serta menerapkan praktik keamanan terbaik untuk melindungi infrastruktur kritis mereka.

Sumber: CryptoSlate
Cara Membuka dan Mengalahkan Bos Tersembunyi Kingpin di Marvel Rivals Mode Blood Hunt
← Sebelumnya

Cara Membuka dan Mengalahkan Bos Tersembunyi Kingpin di Marvel Rivals...

 Arvell Reese Dipilih Giants di Draft: 'Saya Akan Digunakan sebagai Senjata Rahasia'
Selanjutnya →

Arvell Reese Dipilih Giants di Draft: 'Saya Akan Digunakan sebagai Sen...