Scroll untuk baca artikel
Networking

Paket npm Jscrambler pintu belakang peretas dengan malware infostealer

4
×

Paket npm Jscrambler pintu belakang peretas dengan malware infostealer

Share this article
paket-npm-jscrambler-pintu-belakang-peretas-dengan-malware-infostealer
Paket npm Jscrambler pintu belakang peretas dengan malware infostealer

Paket npm Jscrambler pintu belakang peretas dengan malware infostealer

Perusahaan keamanan web sisi klien Jscrambler mengungkapkan bahwa pelaku ancaman menerbitkan versi berbahaya dari paket npm-nya yang telah diunduh hampir 1,500 kali.

Example 300x600

Paket Jscrambler berbahaya mencakup rilis 8.14, 8.16, 8.17, dan 8.20 dan menyertakan malware pencuri informasi yang dieksekusi selama hook ‘pra-instal’.

“Hari ini, kami mengidentifikasi publikasi tidak sah dari versi berbahaya dari paket jscrambler npm kami, yang digunakan dengan produk Integritas Kode kami,” kata Jscrambler dalam peringatan pada hari Sabtu.

gambar

“Insiden ini terbatas pada paket tersebut dan tidak mempengaruhi produk Jscrambler lainnya, termasuk Webpage Integrity,” kata perusahaan itu.

Meskipun Jscrambler bereaksi dengan cepat, paket jahat tersebut bertahan selama dua jam sebelum pengembang menghentikannya dan merilis versi aman 8.22.

Paket yang terpengaruh adalah ketergantungan untuk empat paket Jscrambler lainnya, yang juga sudah tidak digunakan lagi oleh vendor dan diganti dengan versi baru.

Data statistik dari Node Package Manager (npm) menunjukkan bahwa paket berbahaya diunduh 1.479 kali selama jangka waktu dua jam.

Jscrambler adalah platform komersial untuk melindungi aplikasi JavaScript web dan seluler dari rekayasa balik dan gangguan.

Paket npm-nya punya 17.000 unduhan mingguan dan memungkinkan pengembang aplikasi mengunggah JavaScript mereka ke layanan Jscrambler untuk melindungi kode dari perubahan. Ini membantu mempertahankan diri dari modifikasi real-time seperti memasukkan kode berbahaya.

Perusahaan keamanan aplikasi Socket mendeteksi kompromi dan menganalisis rilis Jscrambler yang tidak sah. Para peneliti mengatakan bahwa paket tersebut mencakup pencuri informasi yang menargetkan berbagai jenis data sensitif:

  • Kode sumber dan file proyek
  • Kredensial dan rahasia pengembang (Git, SSH, variabel lingkungan, token CI/CD)
  • Kredensial cloud dan manajer rahasia (AWS, Azure, GCP, Kubernetes)
  • Alat pengkodean AI dan konfigurasi MCP (Claude, Cursor, Windsurf, VS Code, Zed)
  • Dompet Cryptocurrency dan frase awal (MetaMask, Phantom, Coinbase, Exodus, Trust Wallet)
  • Data browser (cookie, kredensial yang disimpan)
  • Aplikasi perpesanan dan kolaborasi (Slack, Discord, Telegram)

Laporan soket bahwa malware tersebut menggunakan kebingungan per string yang kuat melalui algoritme enkripsi ChaCha20-Poly1305, sehingga menyulitkan rekayasa balik kode.

Menurut Jscrambler, kompromi ini dimungkinkan karena kredensial penerbitan npm dikompromikan, yang telah dicabut oleh perusahaan.

Setelah insiden tersebut, kontrol keamanan tambahan telah diterapkan untuk jalur penerbitan.

Pengembang yang telah menggunakan paket npm berbahaya harus memperlakukan lingkungan mereka sebagai lingkungan yang telah disusupi, merotasi semua rahasia, dan memulihkan dari cadangan yang aman.

Jscrambler merekomendasikan pelanggan untuk memastikan bahwa mereka menggunakan produk versi terbaru.

gambar artikel

Uji setiap lapisan sebelum penyerang melakukannya

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.

Dapatkan whitepapernya