Lima versi berbahaya dari paket AsyncAPI dipublikasikan ke Node Package Manager (npm) dalam serangan rantai pasokan yang mengirimkan trojan akses jarak jauh dengan kemampuan mencuri informasi.
Pelaku ancaman mengeksploitasi alur kerja GitHub Actions yang salah dikonfigurasi dan mendorong paket trojan di namespace @asyncapi yang memiliki jumlah unduhan kumulatif mingguan lebih dari 2,25 juta.
Beberapa perusahaan keamanan mengonfirmasi bahwa pada 14 Juli, seorang penyerang menyusupi dua repositori AsyncAPI GitHub dan menyuntikkan malware ke dalam file proyek.
“Kedua serangan tersebut merupakan kompromi jalur pipa CI/CD, bukan token npm yang dicuri atau pengelola jahat,” bunyi a laporan dari Langkah Keamanan.
Para peneliti menjelaskan bahwa “penyerang mendorong komitmen di bawah identitas git placeholder dan membiarkan alur kerja rilis nyata setiap repositori melakukan penerbitan melalui integrasi penerbit tepercaya GitHub OIDC npm.”
Dengan melakukan hal ini, penyerang memastikan bahwa paket yang dihasilkan memiliki pengesahan asal SLSA yang sah, yang menunjukkan bahwa paket tersebut berasal dari alur kerja resmi.
Paket AsyncAPI berbahaya yang dikirim ke npm adalah:
- @asyncapi/generator 3.3.1 (101 ribu unduhan mingguan)
- @asyncapi/generator-helpers 1.1.1 (43 ribu unduhan mingguan)
- @asyncapi/generator-components 0.7.1 (34 ribu unduhan mingguan)
- @asyncapi/specs 6.11.2-alpha.1 dan 6.11.2 (2,1 juta unduhan mingguan)
Perusahaan keamanan aplikasi Catatan soket bahwa implan tahap pertama dalam paket yang diterbitkan adalah pernyataan JavaScript yang dikaburkan yang pada akhirnya memicu pengunduh ketika file yang terinfeksi diimpor.
Skrip tahap kedua, yang berisi detail konfigurasi dan runtime utama, diambil dari jaringan pengiriman konten peer-to-peer IPFS dan diluncurkan sebagai proses tersembunyi.
Perusahaan keamanan cloud dan aplikasi kata Wiz bahwa payload tahap ketiga “adalah kerangka malware 92.000 baris dengan arsitektur modular,” yang membangun persistensi pada sistem dan berkomunikasi dengan server perintah-dan-kontrol (C2) melalui beberapa saluran: HTTP, relai Nostr, kontrak pintar Ethereum, dan jaringan mesh libp2p.

Sumber: Langkah Keamanan
Meskipun muatan akhir menggunakan nama artefak dan file konfigurasi yang menunjuk ke pintu belakang Miasma yang terlihat pada serangan rantai pasokan sebelumnya[[1, 2], Peneliti SafeDep percaya bahwa malware tersebut adalah “baik yang bersifat pribadi, yang dibuat secara paralel oleh operator yang sama atau kelompok terpisah yang mengadopsi merek Miasma setelah sumber telah dipublikasikan.”
Tujuannya tampaknya untuk mencuri rahasia, yang mencakup kredensial, kunci autentikasi, token, data browser, informasi sensitif dari sistem CI/CD dan alat pengembang AI, dompet mata uang kripto, dan database.
Selain itu, kode malware memungkinkannya mengunduh alat Gitleaks dan HackBrowserData untuk membantu mengumpulkan informasi sensitif.
Namun, laporan dari perusahaan keamanan siber Catatan Aikido bahwa semua fungsi ini tidak berfungsi dan alat pengumpulan data keluar sebelum mengumpulkan apa pun. Meski demikian, para peneliti mengatakan bahwa semua ini dapat dicapai secara manual dengan menggunakan cangkang.
Ox Security juga mencatat bahwa malware tersebut melakukan pemeriksaan lokal untuk Rusia, dan jika ada kecocokan, malware tersebut akan menghentikan prosesnya.
Pada saat penulisan, kelima versi dari empat paket berbahaya telah dihapus dari npm, namun pengembang harus memperhatikan bahwa instalasi yang ada dan file kunci yang dibuat selama jendela paparan mungkin masih berisi rilis berbahaya.
Jendela eksposur diperpanjang hingga sekitar empat jam tujuh menit, antara pukul 07:10 dan 11:18 UTC pada tanggal 14 Juli.
Tindakan yang disarankan adalah menyematkan ke file yang dikenal baik, membuat ulang file kunci, menghapus muatan ‘NodeJS/sync.js’ yang tersembunyi, menghentikan semua proses berbahaya, dan merotasi kredensial pada sistem yang terkena dampak.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.









