Microsoft mengaitkan serangan rantai pasokan Mastra AI baru-baru ini yang membahayakan lebih dari paket 140 npm dengan kelompok peretas Korea Utara Sapphire Sleet, yang juga dikenal sebagai BlueNoroff.
Atribusi ini muncul setelah Microsoft pertama kali mengungkapkan awal pekan ini bahwa penyerang membajak akun pengelola npm dan menggunakannya untuk menerbitkan pembaruan paket berbahaya.
“Microsoft menilai dengan keyakinan tinggi bahwa aktivitas ini disebabkan oleh Sapphire Sleet, aktor negara Korea Utara yang terutama menargetkan sektor keuangan,” kata perusahaan itu dalam sebuah pernyataan. Pembaruan 19 Juni.
Menurut Microsoft, serangan dimulai ketika pelaku ancaman menyusupi akun pengelola npm “ehinero”, yang memiliki hak penerbitan di seluruh lingkungan paket Mastra.
Dengan menggunakan akun tersebut, penyerang menerbitkan pembaruan berbahaya untuk lebih dari 140 paket dalam lingkup @mastra yang menyuntikkan ketergantungan berbahaya bernama “easy-day-js”. Ketergantungan ini adalah kesalahan ketik dari pustaka JavaScript dayjs yang sah dan banyak digunakan.
Saat paket yang disusupi diinstal, ketergantungan berbahaya tersebut mengeksekusi hook pasca-instalasi yang menyebarkan malware dropper pada perangkat pengembang, yang pada akhirnya bertujuan untuk mencuri kredensial sensitif, kunci API, token autentikasi, dan dompet mata uang kripto.
“Setelah dipasang, hari-mudah-js memicu hook pasca-instal yang mengeksekusi skrip dropper yang dikaburkan, menonaktifkan verifikasi sertifikat Transport Layer Security (TLS), menghubungi infrastruktur perintah dan kontrol (C2) yang dikendalikan penyerang, mengunduh payload tahap kedua, dan mengeksekusi payload sebagai proses tersembunyi yang terpisah,” jelas Microsoft.
Malware lintas platform menargetkan dompet kripto
Payload tahap kedua yang diunduh adalah pencuri informasi lintas platform yang dirancang untuk menargetkan sistem Windows, Linux, dan macOS
Implan mengumpulkan informasi tentang host, riwayat browser, aplikasi yang diinstal, dan proses yang berjalan, dan memeriksa apakah 166 ekstensi browser dompet cryptocurrency telah diinstal, termasuk MetaMask, Phantom, Coinbase Wallet, Binance Wallet, dan TronLink.
Malware ini juga menggunakan metode persistensi yang berbeda tergantung pada sistem operasinya, seperti kunci Windows Registry Run, MacOS LaunchAgents, dan layanan sistem Linux.
Sumber: Microsoft
Microsoft mengatakan sistem yang berkomunikasi dengan server perintah dan kontrol penyerang memiliki aktivitas lanjutan yang memanfaatkan taktik yang sebelumnya terkait dengan Sapphire Sleet.
Hal ini mencakup penerapan pintu belakang PowerShell yang sebelumnya digunakan oleh grup, mekanisme persistensi tambahan, pengecualian Microsoft Defender, dan layanan Windows berbahaya yang memberikan hak istimewa SISTEM.
“Infrastruktur backdoor, tradecraft, dan C2 PowerShell telah digunakan oleh Sapphire Sleet dalam kampanye lain sebelumnya,” Microsoft menjelaskan.
Sapphire Sleet adalah aktor ancaman yang disponsori negara Korea Utara kampanye pencurian cryptocurrency, ekstensi browser berbahaya, tawaran pekerjaan palsudan penyusupan rantai pasokan perangkat lunak yang dirancang untuk mencuri kredensial dan aset mata uang kripto.
Microsoft mengatakan kelompok itu juga bertanggung jawab atas a serangan rantai pasokan npm terpisah pada klien HTTP Axios pada bulan April 2026.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.
