Sertifikat Valid dan Akun Dicuri: Cara Penyerang Melanggar Kepercayaan npm

fost-nepal.org – Pada 19 Mei, terdapat 633 versi berbahaya dari paket npm yang berhasil melewati verifikasi provenance oleh Sigstore. Paket-paket tersebut disetujui oleh sistem karena penyerang menggunakan sertifikat tanda tangan yang valid, yang dihasilkan dari akun pemelihara yang telah diretas. Meskipun Sigstore berfungsi sesuai dengan desainnya, hal ini menunjukkan bahwa ketidakmampuan untuk memastikan otorisasi dari pemilik kredensial menjadikan sistem verifikasi ini rentan.

Satu hari sebelumnya, StepSecurity melaporkan adanya serangan terhadap ekstensi Nx Console pada VS Code, alat pengembang yang telah diunduh lebih dari 2,2 juta kali. Versi yang diterbitkan menggunakan kredensial yang dicuri hanya bertahan selama kurang dari 40 menit, namun berhasil mengaktifkan sekitar 6.000 instalasi. Muatan serangan mengumpulkan berbagai jenis informasi sensitif seperti file konfigurasi dan kunci akses.

Kampanye Mini Shai-Hulud, yang dikaitkan dengan kelompok penjahat siber yang termotivasi secara finansial, menyerang registri npm tepat pukul 01:39 UTC. Penyerang berhasil menyebar ke berbagai paket termasuk yang memiliki jutaan unduhan mingguan. Secara keseluruhan, Socket mencatat 639 versi terkompromi dari 323 paket unik dalam gelombang ini.

Meskipun langkah-langkah keamanan telah dilakukan, penelitian menunjukkan bahwa model verifikasi alat pengembang saat ini tidak efektif. Tim riset dari berbagai organisasi telah mengungkap bahwa ada tujuh permukaan serangan yang gagal dalam 48 jam antara 18 dan 19 Mei, termasuk pencurian kredensial dan eksekusi otomatis server.

Keamanan terhadap serangan ini perlu menjadi perhatian utama, terutama bagi tim pengadaan yang melakukan evaluasi alat pengembang. Jika vendor tidak dapat menunjukkan bagaimana alat mereka membedakan antara penerbitan yang dilakukan oleh pemelihara yang sah dan penyerang, maka alat tersebut tidak dapat dianggap sebagai lapisan verifikasi yang andal.