Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Illustration of a developer's desk with a computer screen showing malicious npm packages stealing credentials across platforms, highlighting cybersecurity risks.
Gambar dihasilkan oleh AI

Paket npm berbahaya mencuri kredensial pengembang di berbagai platform

Gambar dihasilkan oleh AI

Sepuluh paket npm dengan kesalahan ketik yang disengaja, diunggah pada 4 Juli 2025, ditemukan mengunduh infostealer yang menargetkan data sensitif di sistem Windows, Linux, dan macOS. Paket-paket ini, yang meniru pustaka populer, menghindari deteksi melalui beberapa lapisan ofusaksi dan mengumpulkan hampir 10.000 unduhan. Perusahaan keamanan siber Socket melaporkan ancaman tersebut, mencatat bahwa paket-paket tersebut masih tersedia di registry.

Pada 4 Juli 2025, aktor ancaman mengunggah sepuluh paket berbahaya ke registry npm, menggunakan typosquatting untuk berpura-pura menjadi perangkat lunak sah seperti TypeScript, discord.js, ethers.js, nodemon, react-router-dom, dan zustand. Paket-paket tersebut—typescriptjs, deezcord.js, dizcordjs, dezcord.js, etherdjs, ethesjs, ethetsjs, nodemonjs, react-router-dom.js, dan zustand.js—menipu pengembang untuk menginstalnya dengan muncul di hasil pencarian untuk nama asli.

Setelah instalasi, skrip postinstall diaktifkan, memunculkan terminal tersembunyi yang menjalankan 'app.js' dan membersihkan jendela untuk menghindari perhatian. Pemuat ini menggunakan empat lapisan ofusaksi: pembungkus eval dekode diri, dekripsi XOR dengan kunci dinamis, muatan terkode URL, dan ofusaksi alur kontrol yang berat. Ia menampilkan CAPTCHA ASCII palsu di terminal untuk tampak sah, kemudian mengirim geolokasi korban dan sidik jari sistem ke server command-and-control.

Malware selanjutnya mengunduh binari infostealer berukuran 24MB yang dikemas dengan PyInstaller yang disesuaikan dengan OS host. Alat ini mengekstrak kredensial dari keyring sistem, termasuk Windows Credential Manager, macOS Keychain, dan opsi Linux seperti SecretService, libsecret, dan KWallet. Ia juga menargetkan browser berbasis Chromium dan Firefox untuk profil, kata sandi tersimpan, dan cookie sesi, bersama dengan kunci SSH di direktori umum dan token seperti OAuth, JWT, dan kunci API.

Data yang dicuri dikompresi menjadi arsip dan disiapkan di /var/tmp atau /usr/tmp sebelum diekstrak ke server penyerang di 195.133.79.43. Meskipun Socket melaporkan ke npm, paket-paket tersebut masih tersedia hingga akhir Oktober 2025. Para ahli mendesak pengembang yang terkena dampak untuk menghapus paket-paket tersebut, memutar ulang semua kredensial, dan memverifikasi sumber dari penerbit terkemuka untuk mencegah kompromi.

Artikel Terkait

Seventy-three Microsoft open source packages were compromised late last week with malware that steals credentials from cloud services and developer tools. The malicious code activates when opened in AI coding agents.

Dilaporkan oleh AI

Developer platform Socket has identified a malware known as TrapDoor that is targeting crypto and AI developers.

A ransomware group known as ShinyHunters exploited a critical zero-day flaw in Oracle’s PeopleSoft software to target about 100 organizations. The attackers stole gigabytes of data from victims, including the University of Nottingham, and issued extortion demands. Oracle has released a mitigation but not a full patch.

Dilaporkan oleh AI

Google published proof-of-concept exploit code on Wednesday for a vulnerability in its Chromium browser that has gone unfixed for 29 months. The flaw affects Chrome, Microsoft Edge, and other Chromium-based browsers used by millions worldwide. It enables attackers to establish persistent connections for monitoring user activity and launching attacks.

Situs web ini menggunakan cookie

Kami menggunakan cookie untuk analisis guna meningkatkan situs kami. Baca kebijakan privasi kami untuk informasi lebih lanjut.
Tolak