Perusahaan keamanan web sisi klien Jscrambler mengungkapkan bahwa pelaku ancaman menerbitkan versi berbahaya dari paket npm-nya yang telah diunduh hampir 1,500 kali.
Paket Jscrambler berbahaya mencakup rilis 8.14, 8.16, 8.17, dan 8.20 dan menyertakan malware pencuri informasi yang dieksekusi selama hook ‘pra-instal’.
“Hari ini, kami mengidentifikasi publikasi tidak sah dari versi berbahaya dari paket jscrambler npm kami, yang digunakan dengan produk Integritas Kode kami,” kata Jscrambler dalam peringatan pada hari Sabtu.
“Insiden ini terbatas pada paket tersebut dan tidak mempengaruhi produk Jscrambler lainnya, termasuk Webpage Integrity,” kata perusahaan itu.
Meskipun Jscrambler bereaksi dengan cepat, paket jahat tersebut bertahan selama dua jam sebelum pengembang menghentikannya dan merilis versi aman 8.22.
Paket yang terpengaruh adalah ketergantungan untuk empat paket Jscrambler lainnya, yang juga sudah tidak digunakan lagi oleh vendor dan diganti dengan versi baru.
Data statistik dari Node Package Manager (npm) menunjukkan bahwa paket berbahaya diunduh 1.479 kali selama jangka waktu dua jam.
Jscrambler adalah platform komersial untuk melindungi aplikasi JavaScript web dan seluler dari rekayasa balik dan gangguan.
Paket npm-nya punya 17.000 unduhan mingguan dan memungkinkan pengembang aplikasi mengunggah JavaScript mereka ke layanan Jscrambler untuk melindungi kode dari perubahan. Ini membantu mempertahankan diri dari modifikasi real-time seperti memasukkan kode berbahaya.
Perusahaan keamanan aplikasi Socket mendeteksi kompromi dan menganalisis rilis Jscrambler yang tidak sah. Para peneliti mengatakan bahwa paket tersebut mencakup pencuri informasi yang menargetkan berbagai jenis data sensitif:
- Kode sumber dan file proyek
- Kredensial dan rahasia pengembang (Git, SSH, variabel lingkungan, token CI/CD)
- Kredensial cloud dan manajer rahasia (AWS, Azure, GCP, Kubernetes)
- Alat pengkodean AI dan konfigurasi MCP (Claude, Cursor, Windsurf, VS Code, Zed)
- Dompet Cryptocurrency dan frase awal (MetaMask, Phantom, Coinbase, Exodus, Trust Wallet)
- Data browser (cookie, kredensial yang disimpan)
- Aplikasi perpesanan dan kolaborasi (Slack, Discord, Telegram)
Laporan soket bahwa malware tersebut menggunakan kebingungan per string yang kuat melalui algoritme enkripsi ChaCha20-Poly1305, sehingga menyulitkan rekayasa balik kode.
Menurut Jscrambler, kompromi ini dimungkinkan karena kredensial penerbitan npm dikompromikan, yang telah dicabut oleh perusahaan.
Setelah insiden tersebut, kontrol keamanan tambahan telah diterapkan untuk jalur penerbitan.
Pengembang yang telah menggunakan paket npm berbahaya harus memperlakukan lingkungan mereka sebagai lingkungan yang telah disusupi, merotasi semua rahasia, dan memulihkan dari cadangan yang aman.
Jscrambler merekomendasikan pelanggan untuk memastikan bahwa mereka menggunakan produk versi terbaru.
Uji setiap lapisan sebelum penyerang melakukannya
Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.
Whitepaper Picus menunjukkan bagaimana simulasi pelanggaran dan serangan menguji aturan SIEM dan EDR Anda sehingga ancaman berhenti lolos saat terdeteksi.








