Serangan rantai pasok perangkat lunak terbaru ini ditemukan oleh peneliti keamanan dari Wiz, perusahaan milik Google, yang melacak sumber malware hingga akun GitHub salah satu karyawan Red Hat yang diretas. Pelaku menggunakan akun tersebut untuk mendorong komit jahat ke dua repositori RedHatInsights, melewati proses code review yang seharusnya menjadi barier keamanan.
Dua Gelombang Serangan Tanpa Sepengetahuan Pengembang
Wiz menyebut aktivitas peretasan terjadi dalam dua gelombang. “Akun yang dikompromikan mendorong komit jahat yatim piatu ke dua repositori RedHatInsights, melewati proses peninjauan kode,” tulis para pemburu ancaman dalam blog mereka, Senin (15/4).
Paket yang terinfeksi menjalankan muatan tersembunyi melalui preinstall hook—sebuah kode yang otomatis tereksekusi saat perintah npm install dijalankan, bahkan sebelum pengembang mengimpor atau menggunakan paket tersebut. Artinya, infeksi sudah terjadi di tahap instalasi, bukan saat runtime.
Muatan Malware: Dari Token GitHub hingga Kredensial Cloud
Tim riset Socket, firma keamanan rantai pasok lain yang turut memantau, mencatat 95 versi paket terdampak hingga pukul 11:00 UTC. Menurut analisis mereka, muatan malware dirancang untuk mengumpulkan GitHub Actions secrets, token NPM, kredensial cloud, materi Kubernetes dan Vault, SSH key, serta file sensitif lainnya.
“Muatan ini juga menyertakan logika eksfiltrasi terenkripsi dan mekanisme fallback berbasis GitHub, menunjukkan bahwa penyerang tidak hanya mencoba mencuri kredensial, tetapi juga memungkinkan propagasi rantai pasok lebih lanjut,” tulis tim riset Socket.
Varian Baru dengan Fokus Cloud yang Lebih Agresif
Yang membedakan varian terbaru ini dari Mini Shai-Hulud versi asli adalah penambahan kolektor data untuk identitas Google Cloud Platform dan Microsoft Azure. Wiz mencatat, varian baru ini menyedot semua identitas yang dapat diakses oleh mesin yang terinfeksi—bukan hanya mencuri rahasia dari lingkungan cloud tertentu.
“Ini menunjukkan peningkatan fokus penyerang untuk mendapatkan dan memanfaatkan akses ke cloud itu sendiri,” peringatan Wiz. Varian ini juga membuat repositori dengan deskripsi “Miasma: The Spreading Blight” dan menghasilkan muatan terenkripsi unik untuk setiap infeksi, membuat indikator kompromi berbasis hash hanya berguna untuk versi paket tertentu.
Red Hat: Paket Terbatas untuk Pengembangan Internal, Pelanggan Tidak Terdampak
Juru bicara Red Hat mengonfirmasi kepada The Register bahwa perusahaan sadar akan laporan tersebut. “Kami segera memulai investigasi dan menghapus paket-paket tersebut dari registry NPM,” ujar sang juru bicara.
“Paket-paket itu terbatas secara ketat untuk pengembangan internal, dan kode jahat tidak pernah dipublikasikan untuk konsumsi pelanggan melalui sistem console.redhat.com. Meskipun investigasi masih berlangsung, kami belum mengidentifikasi dampak apa pun terhadap lingkungan pelanggan, mitra, atau sistem produksi Red Hat.”
Tim PCP atau Peniru? Sulit Dibedakan
Kedua firma keamanan mengatakan malware ini mirip dengan Mini Shai-Hulud—tetapi karena TeamPCP telah membuka sumber alat pencuri kredensial tersebut, sulit untuk memastikan apakah geng kriminal itu sendiri atau kelompok peniru yang bertanggung jawab atas infeksi rantai pasok terbaru ini.
Menurut Wiz, modifikasi yang ditemukan “sebagian besar bersifat kosmetik, dengan referensi ke alam semesta Dune digantikan oleh tema mitologi Yunani (misalnya ‘spartan’), sementara fungsi dan tradecraft yang mendasarinya tetap sangat mirip.”
Socket dan Wiz terus memantau serangan ini dan memperbarui daftar artefak. Jika organisasi atau pipeline pengembangan Anda telah menginstal salah satu versi beracun, asumsikan telah terjadi kompromi dan segera rotasi kredensial.
