Dunia JavaScript sedang tidak baik-baik saja. Laporan terbaru dari HelixGuard, Wiz, dan tim security lainnya mengonfirmasi gelombang serangan Supply Chain yang sangat agresif bernama Sha1-Hulud 2.0.
Ratusan package populer (termasuk milik Zapier & Postman) sempat terinfeksi. Ini bedahannya:
1. ⚠️ Problem Statement (Masalah)
* Supply Chain Poisoning: Hacker menyusupkan kode jahat ke dalam library NPM yang sah. Developer yang melakukan npm install otomatis terinfeksi.
* Massive Blast Radius: Malware ini bersifat "Worm" (menyebar sendiri). Begitu satu developer kena, malware ini menggunakan kredensial korban untuk menerbitkan versi jahat dari package lain yang mereka maintain.
* Impact: Lebih dari 25.000+ repositori GitHub ditemukan berisi data kredensial curian akibat serangan ini dalam hitungan hari.
2. 🛠️ Metodologi Serangan (Modus Operandi)
Tekniknya sangat licik dan modern:
* Bun Runtime: Malware ini menginstal runtime JavaScript "Bun" secara diam-diam untuk menjalankan payload berbahaya tanpa terdeteksi oleh monitoring Node.js biasa.
* Exfiltration via GitHub: Alih-alih mengirim data ke server C2 (Command & Control) yang mencurigakan, hacker membuat repositori publik baru di akun korban dengan deskripsi "Sha1-Hulud: The Second Coming" dan membuang semua secrets curian di sana.
* TruffleHog: Menggunakan tool open-source ini untuk memindai laptop korban dan menyedot AWS Keys, NPM Tokens, dan SSH Keys.
3. 📉 Findings & Dampak Fatal
* 🔥 Destructive Fail-safe: Jika malware gagal mencuri data, dia punya mekanisme "ngambek": Menjalankan perintah rm -rf untuk menghapus direktori Home pengguna. Sadis!
* 🚪 Backdoor: Malware ini mendaftarkan mesin korban sebagai Self-Hosted Runner di GitHub Actions (bernama "SHA1HULUD"), memberi hacker akses penuh untuk menjalankan perintah kapan saja.
* 🔓 Public Exposure: Kredensial cloud (AWS/GCP) milik ribuan perusahaan terekspos telanjang di GitHub publik.
4. 💡 Key Takeaways
* Audit Your Deps: Cek package.json kamu. Hindari update dependensi secara buta (blind update).
* Least Privilege: Jangan simpan token dengan akses admin/write di laptop jika tidak perlu. Gunakan short-lived credentials.
* Monitor GitHub: Cek apakah di akun GitHub kamu tiba-tiba muncul repo aneh dengan nama "Sha1-Hulud".
🛡️ Action Items (Darurat!)
* Cek Repositori: Cari repo dengan deskripsi "Sha1-Hulud" di akunmu. Jika ada, kamu sudah kena!
* Rotate Secrets: Segera ganti semua API Key, SSH Key, dan Token NPM/GitHub.
* Bersihkan Cache: Jalankan npm cache clean --force dan hapus folder node_modules serta package-lock.json lalu install ulang versi yang aman.
🔗 Baca Laporan Lengkapnya:
https://helixguard.ai/blog/malicious-sha1hulud-2025-11-24
#CyberSecurity #NPM #NodeJS #SupplyChainAttack #MalwareAlert #DevSecOps #InfoSec #Sha1Hulud #TechNews #HelixGuard
