Sebuah serangan rekayasa sosial yang sangat rapi berhasil menipu pengelola paket perangkat lunak populer dan membuka jalan bagi malware pencuri kredensial ke ribuan komputer Windows, macOS, dan Linux. Insiden ini berawal dari kompromi akun utama maintainer Axios, pustaka HTTP JavaScript yang dipakai luas di ekosistem pengembangan aplikasi modern.
Paket berbahaya itu sempat dipublikasikan ke npm sebelum dihapus sekitar tiga jam kemudian, tetapi dampaknya sudah telanjur mengkhawatirkan. Axios sendiri disebut menerima lebih dari 100 juta unduhan setiap minggu, sehingga jumlah perangkat yang mungkin terdampak sulit dihitung secara pasti.
Bagaimana serangan dimulai
Menurut laporan pascakejadian yang dibagikan oleh Jason Saayman, serangan tidak terjadi secara acak. Pelaku diduga sudah menjalankan kampanye social engineering selama sekitar dua minggu sebelum kode berbahaya diunggah ke npm.
Para pelaku berpura-pura menjadi pendiri sebuah perusahaan dan bahkan meniru identitas serta citra perusahaan tersebut. Mereka kemudian mengundang target ke ruang kerja Slack palsu yang tampil meyakinkan, lengkap dengan branding, unggahan LinkedIn tiruan, dan profil tim palsu.
Setelah itu, korban dijadwalkan mengikuti pertemuan melalui Microsoft Teams. Di titik inilah pelaku melancarkan langkah penentu, yakni permintaan pemasangan pembaruan yang disebut hilang, padahal pembaruan itu palsu.
Peran fake update Microsoft Teams
Modus yang dipakai sangat sederhana di permukaan, tetapi efektif dalam praktik. Korban diminta menginstal sesuatu yang tampak seperti pembaruan Teams, lalu tanpa disadari mengunduh remote access trojan atau RAT ke PC miliknya.
Penting dicatat, Microsoft Teams tidak dibobol. Aplikasi itu hanya dijadikan umpan untuk meyakinkan target agar menjalankan file berbahaya secara sukarela.
Teknik semacam ini sering lebih berhasil daripada serangan teknis murni karena memanfaatkan kepercayaan pengguna pada alat kerja sehari-hari. Saat sebuah aplikasi komunikasi kantor sudah terasa akrab, instruksi kecil seperti “ada pembaruan yang perlu dipasang” bisa terlihat normal bagi banyak orang.
Mengapa serangan ini dianggap sangat terarah
Ashish Kurmi dari StepSecurity menilai pola tersebut bukan tindakan oportunistis. Ia menyebut serangan itu sebagai sesuatu yang “precision”, sebuah ciri khas operasi yang disiapkan dengan matang dan menyasar target tertentu.
John Hultquist, chief analyst di Google Threat Intelligence Group, juga menjelaskan kepada TechCrunch bahwa aktor ancaman Korea Utara punya pengalaman panjang dalam serangan rantai pasok. Menurutnya, kelompok seperti ini telah lama memakai metode serupa, terutama untuk tujuan pencurian aset digital seperti kripto.
Apa yang berisiko dicuri
RAT yang masuk ke sistem bukan sekadar file biasa. Malware jenis ini dapat membuka akses jarak jauh ke mesin korban dan berpotensi mencuri kredensial sensitif, termasuk data autentikasi yang tersimpan di sistem.
- Username dan password dari aplikasi pengembangan
- Token akses ke layanan cloud atau repo kode
- Cookie sesi dan kredensial browser
- Data sensitif yang tersimpan di folder kerja atau konfigurasi
Bagi pengembang dan tim DevOps, satu akun yang jatuh ke tangan peretas bisa menjadi pintu masuk ke sistem lain. Jika akses itu dipakai dalam rantai pasok perangkat lunak, dampaknya bisa menyebar jauh melampaui satu komputer.
Mengapa kasus Axios menjadi sorotan besar
Axios bukan pustaka kecil yang jarang dipakai. Dengan volume unduhan mingguan yang melampaui 100 juta, setiap kompromi pada paket ini langsung memicu kekhawatiran luas di komunitas pengembang.
Saayman menyebut serangan tersebut sangat terkoordinasi, tampak sah, dan dijalankan secara profesional. Penilaian itu memperkuat gambaran bahwa pelaku tidak hanya mengandalkan malware, tetapi juga riset target, peniruan identitas, dan pengaturan skenario komunikasi yang meyakinkan.
Bagi pengguna Windows, macOS, dan Linux, insiden ini kembali menunjukkan bahwa risiko terbesar sering datang bukan dari kerentanan sistem operasi, melainkan dari proses kerja sehari-hari yang tampak normal. Karena itu, verifikasi identitas pengirim, pemeriksaan ulang permintaan instalasi, dan kehati-hatian terhadap update yang tidak diminta tetap menjadi langkah penting dalam mencegah serangan serupa.
-
-
-
-
