Paket Berbahaya Mencuri Kredensial Pengguna di Gudang NPM

• NPM menghapus paket jahat yang disebut "bb-builder" setelah hosting di sana selama lebih dari setahun.
• Penemuan paket tersebut muncul setelah pemindaian mendalam seluruh repositori oleh ReversingLabs.
• Aktor jahat suka menginfeksi repositori pembangunan karena ini adalah dasar untuk serangan rantai pasokan.

NPM (Node Package Manager) baru saja menghapus paket jahat bernama "bb-builder" yang dilaporkan mampu mencuri kredensial login pengguna dari sistem yang diinstal. Administrator NPM menandai risiko paket sebagai "parah" dan memperingatkan orang yang menginstalnya bahwa komputer mereka sekarang harus dianggap "sepenuhnya dikompromikan". Paket mengeksekusi exfiltrator yang dikembangkan untuk Windows dan mengirim kredensial pengguna yang dicuri ke server jauh. Yang mengatakan, menghapus paket sekarang dari repositori atau dari komputer yang terinfeksi tidak akan mengubah fakta bahwa kunci rahasia orang telah dikompromikan.

Penemuan sifat jahat dari semua versi bb-builder dibuat oleh Tomislav Pericin, salah satu pendiri firma analisis statis ReversingLabs. Peneliti memindai seluruh repositori NPM yang terdiri dari sembilan juta paket dan berjumlah 35 terabyte data. Perusahaan yang sama telah melakukan sesuatu yang mirip dengan PyPI Repositori Python bulan lalu, menemukan paket jahat lainnya yang disebut "libpeshnx". Seperti yang ditunjukkan oleh firma analisis, penemuan ini adalah wajar, karena repositori manajer paket yang melayani perusahaan pengembang perangkat lunak adalah titik yang bagus untuk menanam sesuatu yang akan memungkinkan peluncuran serangan rantai pasokan.

"BB-builder" tetap berada di NPM selama lebih dari setahun tanpa ada yang menyadari apa yang dilakukannya, tapi untungnya, itu tidak begitu populer. Seperti yang ditunjukkan dari statistik repositori, jumlah unduhan memuncak pada 78 di bulan Juni. Nama paket itu sedemikian rupa sehingga dapat dengan mudah membuat kebingungan dengan paket-paket lain yang lebih populer, tetapi sepertinya pengembang umumnya berhati-hati dengan apa yang mereka gunakan karena mereka umumnya memiliki kepribadian yang sangat teliti.

NPM adalah repositori yang dilengkapi dengan alat manajemen paket yang dikhususkan untuk bahasa pemrograman JavaScript. Ini digunakan untuk menyimpan, mengunduh, dan menautkan paket publik atau pribadi, memungkinkan pengguna untuk mengkonsumsi dan mendistribusikan modul JavaScript. Pengembang menggunakan NPM untuk manajemen ketergantungan lokal dan pengambilan paket otomatis dan instalasi. Karena tidak ada pemeriksaan dalam registri, beberapa paket di NPM bisa berkualitas rendah atau bahkan berbahaya. Repositori serupa yang dikhususkan untuk bahasa dan proyek pemrograman lain, dan yang telah berulang kali dikompromikan sebelumnya adalah PyPI (Python), NuGet (.NET), dan RubyGems (Ruby).

Punya sesuatu untuk dikomentari di atas? Jangan ragu untuk membagikan pemikiran Anda di bawah, atau diskusikan berita ini dengan komunitas online kami, di Facebook dan Twitter.