Awas! RED-LILI Sebarkan Lebih dari 800 Paket NPM Berbahaya

RED-LILI Sebar Paket NPM Berbahaya - Sebuah operasi supply chain attack skala besar tengah berlangsung, dengan aktor ancaman yang dikenal sebagai "RED-LILI" menjadi sorotan utama. Mereka telah berhasil mendistribusikan lebih dari 800 paket NPM berbahaya, menciptakan situasi yang sangat merugikan bagi repositori paket NPM.

Menurut laporan dari perusahaan keamanan Israel Checkmarx, para penyerang biasanya memulai serangan mereka melalui akun NPM tanpa nama. Namun, kali ini, tampaknya RED-LILI telah mengotomatiskan sepenuhnya proses pembuatan akun NPM, dengan membuat akun khusus satu per paket. Hal ini membuat kumpulan paket berbahaya yang mereka hasilkan lebih sulit untuk dideteksi.

Penyelidikan terbaru dari JFrog dan Sonatype menggambarkan bahwa RED-LILI telah menargetkan developer-developer besar seperti Azure, Uber, dan Airbnb. Mereka menggunakan strategi seperti dependency confusion dan typosquatting untuk mengecoh pengguna dan menyebabkan kerugian.

Pemeriksaan komprehensif terhadap operasi RED-LILI menemukan bahwa tanda-tanda pertama aktivitas yang mencurigakan muncul pada 23 Februari 2022. Sejumlah paket berbahaya disebarluaskan, "meledak" selama seminggu, menciptakan dampak yang signifikan.

Checkmarx menggambarkan metode otomatis yang digunakan oleh RED-LILI untuk mengunggah library berbahaya ke NPM sebagai "factory". Proses ini memerlukan penggunaan kombinasi kode Python dan alat pengujian web seperti Selenium. Tujuannya adalah meniru aktivitas pengguna yang diperlukan untuk mereproduksi proses pembuatan pengguna di registri.

313 Paket NPM Berbahaya Ditemukan

Untuk menyiasati verifikasi One Time Password (OTP) NPM, para penyerang menggunakan aplikasi open source bernama Interactsh. Alat ini digunakan untuk mengekstrak OTP yang dikirimkan oleh server NPM ke alamat email yang diberikan saat mendaftar. Ini memungkinkan mereka melanjutkan permintaan pembuatan akun tanpa hambatan.

Dengan akun pengguna NPM yang baru dibuat, para pelaku ancaman melanjutkan untuk mengembangkan dan menerbitkan paket berbahaya, satu per akun, secara otomatis. Langkah ini diambil setelah mereka berhasil menghasilkan token akses, memungkinkan paket-paket tersebut dipublikasikan tanpa memerlukan tantangan OTP melalui email.

Peneliti menggarisbawahi bahwa serangan ini merupakan tonggak penting dalam perkembangan para penyerang supply chain. Dengan menyebarkan paket di antara beberapa nama pengguna, para penyerang tidak hanya meningkatkan kemungkinan infeksi tetapi juga membuatnya sulit untuk dilacak dan diatasi dengan cepat dan efektif. Perlu diingat, kewaspadaan terhadap RED-LILI dan serangan serupa menjadi kunci untuk melindungi ekosistem pengembangan perangkat lunak dari potensi risiko keamanan siber.