Dunia JavaScript sedang tidak baik-baik saja. Laporan terbaru dari HelixGuard, Wiz, dan tim security lainnya mengonfirmasi gelombang serangan Supply Chain yang sangat agresif bernama Sha1-Hulud 2.0.
Ratusan package populer (termasuk milik Zapier & Postman) sempat terinfeksi. Ini bedahannya:
1. β οΈ Problem Statement (Masalah)
* Supply Chain Poisoning: Hacker menyusupkan kode jahat ke dalam library NPM yang sah. Developer yang melakukan npm install otomatis terinfeksi.
* Massive Blast Radius: Malware ini bersifat "Worm" (menyebar sendiri). Begitu satu developer kena, malware ini menggunakan kredensial korban untuk menerbitkan versi jahat dari package lain yang mereka maintain.
* Impact: Lebih dari 25.000+ repositori GitHub ditemukan berisi data kredensial curian akibat serangan ini dalam hitungan hari.
2. π οΈ Metodologi Serangan (Modus Operandi)
Tekniknya sangat licik dan modern:
* Bun Runtime: Malware ini menginstal runtime JavaScript "Bun" secara diam-diam untuk menjalankan payload berbahaya tanpa terdeteksi oleh monitoring Node.js biasa.
* Exfiltration via GitHub: Alih-alih mengirim data ke server C2 (Command & Control) yang mencurigakan, hacker membuat repositori publik baru di akun korban dengan deskripsi "Sha1-Hulud: The Second Coming" dan membuang semua secrets curian di sana.
* TruffleHog: Menggunakan tool open-source ini untuk memindai laptop korban dan menyedot AWS Keys, NPM Tokens, dan SSH Keys.
3. π Findings & Dampak Fatal
* π₯ Destructive Fail-safe: Jika malware gagal mencuri data, dia punya mekanisme "ngambek": Menjalankan perintah rm -rf untuk menghapus direktori Home pengguna. Sadis!
* πͺ Backdoor: Malware ini mendaftarkan mesin korban sebagai Self-Hosted Runner di GitHub Actions (bernama "SHA1HULUD"), memberi hacker akses penuh untuk menjalankan perintah kapan saja.
* π Public Exposure: Kredensial cloud (AWS/GCP) milik ribuan perusahaan terekspos telanjang di GitHub publik.
4. π‘ Key Takeaways
* Audit Your Deps: Cek package.json kamu. Hindari update dependensi secara buta (blind update).
* Least Privilege: Jangan simpan token dengan akses admin/write di laptop jika tidak perlu. Gunakan short-lived credentials.
* Monitor GitHub: Cek apakah di akun GitHub kamu tiba-tiba muncul repo aneh dengan nama "Sha1-Hulud".
π‘οΈ Action Items (Darurat!)
* Cek Repositori: Cari repo dengan deskripsi "Sha1-Hulud" di akunmu. Jika ada, kamu sudah kena!
* Rotate Secrets: Segera ganti semua API Key, SSH Key, dan Token NPM/GitHub.
* Bersihkan Cache: Jalankan npm cache clean --force dan hapus folder node_modules serta package-lock.json lalu install ulang versi yang aman.
π Baca Laporan Lengkapnya:
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#CyberSecurity #NPM #NodeJS #SupplyChainAttack #MalwareAlert #DevSecOps #InfoSec #Sha1Hulud #TechNews #HelixGuard
