Serangan Malware 'Mini Shai-Hulud' Menyerang Ratusan Paket Open Source, Ancam Infrastruktur Cloud

Serangan Supply Chain Meluas Menargetkan Infrastruktur Cloud

Sebuah kampanye malware yang menyebar dengan cepat telah menginfeksi ratusan paket perangkat lunak di registri open source besar, dengan menyisipkan kode pencuri kredensial ke dalam alat pengembangan yang diunduh jutaan kali per minggu. Serangan yang dijuluki "mini Shai-Hulud" menargetkan perpustakaan perangkat lunak ternama seperti TanStack, UiPath, dan MistralAI.

Salah satu paket yang paling banyak diunduh, TanStack React Router, memiliki lebih dari 12 juta unduhan mingguan. Hal ini menempatkan kode berbahaya jauh di dalam rantai pasokan perangkat lunak aplikasi perusahaan modern. Dalam sebuah postingan blog, TanStack mengumumkan bahwa tim keamanan telah menarik semua versi perangkat lunak yang terkompromi dari registri.

Ancaman terhadap Infrastruktur Cloud dan Kredensial

Meskipun tidak ada bukti pencurian kata sandi registri, para ahli mendesak siapa pun yang mengunduh alat yang terpengaruh pada hari Senin untuk segera mengganti semua kredensial cloud, server, dan pengembang yang terhubung—termasuk Amazon Web Services, Google Cloud, dan GitHub.

Insiden ini menyoroti kerentanan sistemik dalam penerbitan perangkat lunak otomatis. Pembaruan yang terkompromi berhasil melewati autentikasi dua faktor dan membawa tanda tangan validasi kriptografis. Tanda tangan ini memverifikasi bahwa paket berasal dari pipeline integrasi berkelanjutan yang benar, tetapi gagal mendeteksi bahwa pipeline itu sendiri telah dimanipulasi untuk mengotorisasi kode berbahaya.

Kelompok Siber TeamPCP Diduga Bertanggung Jawab

Para peneliti keamanan mengaitkan kampanye ini dengan TeamPCP, kelompok cyberkriminal yang berfokus pada cloud dan muncul pada akhir 2025. Kelompok ini dikenal karena serangan rantai pasokan otomatis dan eksploitasi infrastruktur cloud-native, termasuk lingkungan Docker dan Kubernetes.

TeamPCP diduga bertanggung jawab atas pengembangan awal Shai Hulud dan dikenal karena kemampuannya menyembunyikan jejak, seperti menyamarkan data curian sebagai lalu lintas pesan anonim. Mereka juga menggunakan taktik pemerasan agresif, termasuk mengancam akan menghapus seluruh komputer korban jika mencoba menghapus akses mereka.

Metode Penyerangan yang Canggih

Penyerang memicu proses rilis otomatis menggunakan "orphaned commit"—kode yang didorong ke cabang repositori tanpa cabang induk yang sesuai. Hal ini memungkinkan mereka mengeksploitasi izin yang terlalu luas dalam alur kerja GitHub Actions. Malware kemudian dikirim melalui dependensi tersembunyi yang mengambil muatan terenkripsi seberat 2,3 megabyte, disamarkan sebagai modul inisialisasi.

Setelah dieksekusi, malware menggunakan Bun—mesin perangkat lunak berkecepatan tinggi untuk menjalankan JavaScript—untuk secara sistematis mencuri kunci keamanan dan kata sandi. Malware ini menargetkan infrastruktur cloud tingkat tinggi, termasuk AWS, Google Cloud Platform, Kubernetes, dan HashiCorp Vault. Kode ini dirancang untuk menyusup ke jaringan cloud Amazon yang sangat aman sekalipun, sambil mencari file rahasia dan kunci SSH di komputer pengembang untuk membuka sistem perusahaan lainnya.

Sebagai cacing yang dapat menyebar sendiri, malware ini mempublikasikan salinannya ke proyek lain, menyamarkan aktivitasnya sebagai komit otomatis dari bot Anthropic Claude. Sebagai upaya pemerasan sekunder, malware ini menghasilkan token registri baru yang berisi catatan tebusan dalam deskripsinya, mengancam akan menghapus seluruh komputer jika korban mencoba mencabut akses yang terkompromi.

Dampak dan Respons Keamanan

Meskipun malware memiliki kemampuan berbahaya, para peneliti menyatakan bahwa penyebarannya sangat terbatas. "Kami melihat penyebaran yang sangat terbatas di komunitas," kata Charlie Eriksen, peneliti keamanan dari perusahaan keamanan aplikasi Aikido Security. Meskipun demikian, insiden ini menekankan pentingnya kewaspadaan terhadap kerentanan dalam rantai pasokan perangkat lunak.