Shai-Hulud: malware rantai pasokan yang merayap masuk ke pipeline pengembang—dan ke dompet kripto Kampanye malware halus yang disebut “Shai-Hulud” memanfaatkan alat otomatis yang menjadi andalan pengembang dalam membangun dan mendistribusikan perangkat lunak, dan jangkauannya sangat mengkhawatirkan. Para peneliti telah mengaitkan sekitar 320 entri paket jahat di repositori Node Package Manager (NPM) dan PyPI dengan kampanye ini—paket-paket yang secara bersama-sama mencatat lebih dari 518 juta unduhan bulanan. Bagi proyek kripto dan tim apa pun yang bergantung pada ekosistem ini, implikasinya jelas: akses penyerang terhadap alat pengembang dapat dengan cepat berubah menjadi pencurian kredensial cloud dan dompet kripto. Cara infeksi menyebar Shai-Hulud tidak menyerang pengguna akhir secara langsung. Sebaliknya, ia mengompromikan paket dan pipeline build yang tepercaya sehingga malware secara otomatis masuk ke proyek turunan selama proses pengembangan dan rilis normal. Karena kode jahat sering berasal dari registri paket resmi, membawa tanda tangan valid, dan lulus pemeriksaan rutin, ia dapat menyatu—membuat deteksi sulit hingga kerusakan terjadi. Mengapa ini penting “Perangkat lunak modern dibangun dengan menjalankan kode orang lain,” kata Jeff Williams, CTO Contrast Security, kepada Decrypt. “Pengembang tidak hanya ‘mengunduh’ pustaka. Mereka menginstalnya, membangun dengannya, mengujinya, mendeploy dengannya, dan akhirnya menjalankannya. Dan jika Anda menjalankan pustaka jahat, ia dapat melakukan hampir semua hal yang bisa Anda lakukan.” Ia memperingatkan bahwa kemajuan AI memperburuk masalah ini, menyamakan efeknya dengan “membuat komputer menjadi agen ganda.” Insiden nyata dan dampaknya - Pada awal Mei, Microsoft Threat Intelligence mengungkapkan penyerang telah menyisipkan kode jahat ke dalam paket Mistral AI di PyPI. Malware tersebut juga mengambil file yang dirancang untuk tampak seperti pustaka Transformers Hugging Face agar menyatu di lingkungan ML. Mistral kemudian menyatakan perangkat pengembang yang terdampak terlibat, tetapi tidak menemukan bukti infrastruktur mereka sendiri dikompromikan. - Dua hari kemudian, OpenAI mengonfirmasi dua perangkat karyawan terinfeksi oleh malware yang terkait Shai-Hulud, yang sementara memberi penyerang akses ke sejumlah terbatas repositori kode internal. Perusahaan melaporkan tidak ada bukti data pelanggan, sistem produksi, atau kekayaan intelektual dikompromikan. - Kampanye ini menarik perhatian luas setelah serangan pada 11 Mei terhadap TanStack, kerangka kerja JavaScript open-source yang banyak digunakan dan menjadi dasar banyak aplikasi web dan cloud. Cakupan dan pelaku Para peneliti melacak varian awal Shai-Hulud kembali ke September 2025 dan mengaitkannya dengan penjahat siber yang beroperasi di bawah nama TeamPCP. Kelompok kriminal ini kemudian mengklaim telah mencuri sekitar 4.000 repositori GitHub pribadi dan menawarkan data tersebut untuk dijual—GitHub mengatakan sedang menyelidiki akses tidak sah ke repositori internal. Sementara itu, perusahaan keamanan OX Security melaporkan paket tiruan sudah beredar yang mencuri kredensial cloud dan dompet kripto, kunci SSH, dan variabel lingkungan, dan beberapa varian juga mencoba merekrut mesin yang terinfeksi ke dalam botnet DDoS. Catatan teknis dan petunjuk atribusi OX Security mencatat bahwa beberapa sampel baru hampir identik dengan sumber Shai-Hulud yang bocor tanpa obfuskasi, menunjukkan pelaku berbeda sedang mengemas ulang kode tersebut daripada mengembangkan varian baru. Penggunaan ulang semacam ini mempercepat penyebaran: kompromi pada paket kecil atau tidak dikenal memberi penyerang saluran masuk ke setiap proyek turunan yang mempercayainya, memungkinkan pencurian token, penerbitan jahat, dan putaran berulang keracunan. Mengapa proyek kripto harus memperhatikan Bagi tim blockchain dan kripto, permukaan serangan mencakup mesin pengembang, CI/CD, registri paket, dan sistem penerbitan otomatis—area yang semakin menjadi target penyerang karena memberikan leverage tinggi. Ketika kredensial dompet, variabel lingkungan, atau kunci API cloud terpapar melalui dependensi atau cache build yang dikompromikan, penyerang dapat berpindah dari lingkungan pengembang ke sistem produksi dan aset keuangan. Pertahanan praktis Para ahli menekankan bahwa rantai pasokan perangkat lunak bukan lagi rantai sederhana tetapi jaringan penyebaran, dan pertahanan harus mencerminkan hal itu. Mitigasi yang direkomendasikan meliputi: - Kontrol dependensi yang lebih ketat dan pinning versi yang ketat. - Perlindungan penerbitan yang lebih kuat dan rilis bertanda tangan serta diverifikasi. - Kredensial prinsip hak akses minimum untuk CI/CD dan rotasi token secara berkala. - Lingkungan build terisolasi dan cache build yang tidak dapat diubah. - Pemindaian otomatis untuk manipulasi dependensi dan feed intelijen ancaman untuk mendeteksi paket jahat lebih awal. “Shai-Hulud adalah pengingat bahwa permukaan serangan meluas jauh melampaui lapisan aplikasi tradisional dan masuk ke paket open-source yang mendorong alur kerja pengembangan dan deploy modern,” kata Joris Van De Vis, Direktur Riset Keamanan di SecurityBridge, kepada Decrypt. Bagi pembuat kripto, itu berarti melindungi pipeline pengembang sama pentingnya dengan mengamankan kontrak pintar dan dompet—karena build yang diracuni bisa menjadi jalur tercepat menuju dana yang dikompromikan. Intinya: penyerang sedang mempersenjatai infrastruktur tepercaya. Proyek yang bergantung pada paket publik, CI/CD otomatis, dan cache build bersama harus mengadopsi kontrol yang lebih ketat dan deteksi cepat untuk menjaga keamanan kode—dan kripto.
Malware Shai-Hulud Menginfeksi Paket NPM/PyPI, Mengancam Dompet Kripto
ChainGPTBagikan
Ringkasan
Malware Shai-Hulud telah menginfeksi lebih dari 320 paket NPM dan PyPI, memengaruhi lebih dari 518 juta unduhan bulanan. Ancaman ini menargetkan dompet kripto dan kredensial cloud, dengan pelanggaran terbaru di Mistral AI dan OpenAI. Peneliti menghubungkan malware ini dengan TeamPCP, yang sebelumnya mencuri 4.000 repositori GitHub. Berita on-chain menyoroti urgensi penerapan pemeriksaan dependensi yang lebih ketat dan rilis yang ditandatangani. Berita AI + kripto menunjukkan meningkatnya risiko di ekosistem sumber terbuka. Para ahli mendesak penggunaan lingkungan build yang terisolasi untuk mencegah penyebaran lebih lanjut.
Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini.
Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.