Peretas Korea Utara membajak Axios dalam serangan rantai pasokan yang membutuhkan waktu berminggu-minggu untuk disiapkan
Proyek yang Banyak Digunakan Berubah Menjadi Vektor Serangan Siber
Operasi siber Korea Utara sempat membajak Axios, salah satu proyek open-source yang paling banyak digunakan di web, dalam serangan 31 Maret yang tampaknya telah direncanakan selama berminggu-minggu. Kompromi ini menggarisbawahi bagaimana peretas yang didukung negara semakin menargetkan infrastruktur perangkat lunak tepercaya, di mana satu pelanggaran dapat menyebar ke ribuan sistem.
Axios adalah library JavaScript populer yang digunakan oleh developer untuk menghubungkan aplikasi ke internet. Karena ia berada di dalam begitu banyak build perangkat lunak, kompromi terhadap proyek ini dapat memiliki konsekuensi yang jauh melampaui proyek itu sendiri. Dalam kasus ini, pembaruan berbahaya hanya aktif sekitar tiga jam sebelum ditarik, tetapi jendela waktu tersebut mungkin masih cukup untuk menginfeksi ribuan sistem.
Serangan tersebut didokumentasikan dalam post-mortem oleh Jason Saayman, yang memelihara proyek tersebut dan menjelaskan garis waktu kompromi. Menurut Saayman, para penyerang mulai menargetkannya sekitar dua minggu sebelum mereka mendapatkan kendali atas komputernya dan menggunakannya untuk menerbitkan kode berbahaya.
Penipuan Jangka Panjang yang Dibangun di Atas Kepercayaan
Operasi ini lebih mengandalkan kesabaran daripada brute force. Saayman mengatakan para penyerang menyamar sebagai perusahaan sungguhan, membuat workspace Slack yang meyakinkan, dan mengisinya dengan profil karyawan palsu untuk membuat tipuan itu terlihat sah. Mereka kemudian mengundangnya ke rapat web yang memintanya untuk mengunduh malware yang menyamar sebagai pembaruan yang diperlukan untuk bergabung dalam panggilan tersebut.
Saayman mengatakan umpan tersebut cocok dengan teknik yang sebelumnya terkait dengan peretas Korea Utara dan diidentifikasi oleh peneliti keamanan Google: pendekatan rekayasa sosial yang meyakinkan target untuk menginstal perangkat lunak yang memberikan akses jarak jauh kepada penyerang. Dalam kasus ini, akses tersebut tampaknya menjadi kunci untuk mendorong rilis Axios yang berbahaya.
Insiden ini menggambarkan mengapa open-source maintainer telah menjadi target bernilai tinggi. Proyek-proyek populer sering kali dipelihara oleh tim kecil atau bahkan satu developer, namun dapat disematkan dalam aplikasi dan layanan yang tak terhitung jumlahnya. Hal itu menjadikan perangkat pribadi maintainer sebagai titik masuk yang menarik bagi penyerang yang ingin mengkompromikan perangkat lunak dalam skala besar.
Risiko Meluas Jauh Melampaui Satu Proyek
Lindungi privasi Anda dengan Doppler VPN
Uji coba gratis 3 hari. Tanpa registrasi. Tanpa log.
Paket Axios berbahaya telah dihapus dengan cepat, tetapi tidak sebelum mereka sempat menyebar. Sistem apa pun yang menginstal salah satu versi yang dikompromikan selama jendela paparan singkat mungkin rentan terhadap pencurian private keys, credentials, dan passwords yang tersimpan di mesin tersebut. Rahasia yang dicuri tersebut kemudian dapat digunakan untuk masuk lebih dalam ke sistem dan layanan lain, mengubah insiden rantai pasokan perangkat lunak menjadi pelanggaran yang lebih luas.
Kemungkinan itulah yang membuat jenis serangan ini sangat mengkhawatirkan. Korban langsung mungkin adalah laptop seorang developer atau satu repository paket, tetapi target akhirnya bisa jauh lebih luas: pengguna dan organisasi yang mempercayai proyek tersebut sebagai bagian dari software stack mereka sendiri.
Insiden Axios juga sesuai dengan pola yang lebih luas. Peretas Korea Utara tetap menjadi salah satu ancaman siber paling aktif di internet, dan mereka berulang kali dikaitkan dengan operasi yang menggabungkan rekayasa sosial, pencurian credential, dan malware akses jarak jauh. Kampanye mereka sering kali mengaburkan batas antara spionase dan kejahatan bermotivasi finansial, dengan pencurian cryptocurrency sering menjadi bagian dari campuran.
Taktik yang Akrab, Peringatan yang Lebih Besar
Apa yang membuat kompromi terbaru ini menonjol bukan hanya targetnya, tetapi cara metodisnya terungkap. Para penyerang tidak hanya mengeksploitasi cacat teknis dalam kode proyek. Mereka menginvestasikan waktu dalam membangun identitas yang dapat dipercaya, mendapatkan kepercayaan maintainer, dan akhirnya memperoleh akses ke mesin yang digunakan untuk menerbitkan pembaruan resmi.
Pendekatan itu menyoroti kenyataan sulit bagi ekosistem open-source: keamanan perangkat lunak yang banyak digunakan tidak hanya bergantung pada code review dan pemantauan paket, tetapi juga pada pertahanan pribadi orang-orang yang memelihara kode tersebut. Karena peretas yang disponsori negara dan kelompok kriminal terus menargetkan maintainer tersebut, rantai pasokan itu sendiri menjadi garis depan dalam konflik siber.
Saayman tidak segera menanggapi pertanyaan lanjutan tentang insiden tersebut. Lingkup penuh kompromi masih dalam penilaian, tetapi pelajarannya sudah jelas: ketika perangkat lunak tepercaya dibajak, blast radius dapat meluas jauh melampaui proyek yang dilanggar.
Sumber: