- Lebih dari 43.000 paket spam yang tidak aktif membanjiri npm dalam kampanye dua tahun yang terkoordinasi
- Beberapa paket berisi skrip mirip worm yang secara otomatis menghasilkan dan menerbitkan entri baru
- Penyerang mungkin memalsukan skor dampak TEA untuk mendapatkan imbalan pengembang yang terdesentralisasi
Sekitar 1% dari keseluruhan ekosistem npm kini terdiri dari paket-paket palsu dan tidak aktif yang diunggah sebagai bagian dari kampanye yang ditargetkan – dan berpotensi berbahaya – selama bertahun-tahun, klaim para ahli.
Peneliti keamanan siber Endor Labs menemukan lebih dari 43.000 paket spam yang membutuhkan waktu hampir dua tahun untuk diunggah dalam upaya terkoordinasi yang memerlukan setidaknya 11 akun pengguna berbeda untuk dapat melakukannya.
“Paket-paket tersebut dipublikasikan secara sistematis dalam jangka waktu yang lama, membanjiri registri npm dengan paket-paket sampah yang bertahan di ekosistem selama hampir dua tahun,” kata para peneliti.
Panen token TEH?
Para peneliti menjuluki kampanye Makanan Indonesia karena cara pemberian nama pada paket tersebut. Skrip berbahaya yang digunakan untuk penamaan berisi dua kamus internal, satu dengan nama Indonesia, dan lainnya dengan istilah makanan Indonesia. Saat skrip berjalan, skrip memilih dua istilah secara acak, menambahkan nomor, dan menambahkan sufiks.
Yang aneh adalah paket-paket itu sendiri tidak berbahaya. Mereka tidak dirancang untuk mencuri data sensitif pengembang, atau bertindak sebagai pintu belakang. Sebaliknya, mereka hanya berbaring di sana, tidak aktif, mengumpulkan unduhan.
Beberapa paket memiliki ribuan download mingguan, para peneliti menjelaskan, mengisyaratkan bahwa hal ini memberikan penyerang potensi keuntungan: “Hal ini memberikan peluang bagi penyerang untuk melakukan tindakan jahat di masa depan yang akan mempengaruhi semua download tersebut.”
Beberapa paket memang berisi skrip mirip worm yang jika dijalankan akan menghasilkan dan membuat skrip tambahan yang kemudian akan ditambahkan ke npm.
Selain potensi jahat, para peneliti juga yakin hal ini bisa menjadi bagian dari kampanye yang bermotif finansial. Rupanya, beberapa paket menyertakan file tea.yaml, yang mencantumkan akun TEA. Tea adalah protokol kerangka kerja terdesentralisasi di mana pengembang sumber terbuka diberi penghargaan ketika menyumbangkan perangkat lunak.
Ini bisa berarti bahwa penyerang mencoba memalsukan skor dampaknya, sehingga mendapatkan lebih banyak token TEA.
Melalui Berita Peretas
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
