Shai-Hulud: Apa yang Perlu Diketahui Tentang Malware yang Menyebar Melalui Pipeline Perangkat Lunak

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯5906 kata

Singkatnya - Malware Shai-Hulud telah dikaitkan dengan sekitar 300 entri paket npm dan PyPI. - OpenAI, Microsoft, dan Mistral AI mengungkapkan insiden terkait Shai-Hulud baru-baru ini. - Malware tersebut menyalahgunakan GitHub Actions dan alur kerja penerbitan perangkat lunak tepercaya. Kampanye malware yang dikenal sebagai “Shai-Hulud” menyebar melalui jalur pipa perangkat lunak yang digunakan pengembang untuk membangun dan mendistribusikan kode, menimbulkan kekhawatiran baru tentang seberapa besar internet modern saat ini bergantung pada sistem otomatis yang beroperasi dengan sedikit pengawasan langsung dari manusia. Para peneliti mengaitkan kampanye malware Shai-Hulud dengan sekitar 320 entri paket di Node Package Manager (NPM) dan PyPI, dua repositori daring terbesar yang digunakan pengembang untuk mengunduh dan berbagi paket perangkat lunak JavaScript dan Python. Paket-paket yang terdampak secara kolektif menyumbang lebih dari 518 juta unduhan bulanan. “Shai-Hulud signifikan karena mengungkap masalah yang tidak bisa kita perbaiki sepenuhnya: perangkat lunak modern dibangun dengan menjalankan kode milik orang lain,” ujar Jeff Williams, CTO dari firma keamanan yang berbasis di California, Contrast Security, kepada Decrypt. “Pengembang tidak hanya sekadar ‘mengunduh’ pustaka. Mereka menginstalnya, membangun dengannya, mengujinya, menyebarkannya, dan akhirnya mengeksekusinya. Dan jika Anda menjalankan pustaka berbahaya, itu bisa melakukan hampir semua hal yang bisa Anda lakukan.” Kemajuan dalam kecerdasan buatan memperumit ancaman tersebut, kata Williams, yang membandingkan Shai-Hulud dengan membuat komputer menjadi agen ganda. “Bagian yang menakutkan adalah daya ungkitnya. Jika penyerang mengompromikan satu paket yang tidak dikenal, mereka tidak hanya mendapatkan paket itu,” kata Williams. “Mereka mendapatkan jalur ke setiap proyek hilir yang mempercayainya. Kemudian mereka dapat mencuri lebih banyak token, menerbitkan lebih banyak paket beracun, dan mengulangi siklus tersebut. Rantai pasokan perangkat lunak bukan lagi sebuah rantai—ini adalah jaringan propagasi,” tambahnya. Awal bulan ini, Microsoft Threat Intelligence mengungkapkan bahwa penyerang menyisipkan kode berbahaya ke dalam paket perangkat lunak Mistral AI yang didistribusikan melalui PyPI. Microsoft mengatakan malware tersebut mengunduh file tambahan yang dirancang agar menyerupai pustaka Transformers yang banyak digunakan oleh Hugging Face sehingga dapat menyatu ke dalam lingkungan pengembangan pembelajaran mesin. Mistral kemudian mengatakan bahwa perangkat pengembang yang terdampak terlibat dalam insiden tersebut, namun menambahkan bahwa mereka “tidak memiliki indikasi bahwa infrastruktur Mistral dikompromikan.” Dua hari kemudian, OpenAI mengonfirmasi bahwa malware yang terkait dengan kampanye yang sama menginfeksi dua perangkat karyawan dan memberi penyerang akses ke sejumlah repositori kode internal. Perusahaan mengatakan tidak menemukan bukti bahwa data pelanggan, sistem produksi, atau kekayaan intelektual dikompromikan. Shai-Hulud cometh Dinamai berdasarkan cacing pasir raksasa dalam “Dune” karya Frank Herbert, para peneliti melacak versi awal malware tersebut hingga September 2025 dan penjahat siber yang dikenal sebagai TeamPCP. Namun, kampanye tersebut menarik perhatian lebih luas setelah serangan besar pada 11 Mei yang menargetkan TanStack, kerangka kerja JavaScript sumber terbuka yang banyak digunakan dalam aplikasi web dan cloud. Shai-Hulud adalah bagian dari jenis serangan rantai pasokan yang berkembang di mana peretas mengompromikan alat atau layanan perangkat lunak tepercaya yang sudah digunakan oleh perusahaan lain. Alih-alih menargetkan korban secara langsung, penyerang menggunakan sistem tepercaya tersebut untuk menyebarkan kode berbahaya atau mendapatkan akses ke lingkungan pengembang. Para peneliti mengatakan serangan tersebut meracuni cache build bersama sehingga rilis perangkat lunak di masa mendatang akan secara diam-diam menarik kode berbahaya tersebut. Bagi pengembang yang mengunduh paket, semuanya tampak normal karena perangkat lunak tersebut berasal dari sumber tepercaya, membawa tanda tangan yang valid, dan lolos pemeriksaan keamanan yang biasa. Itulah yang membuat serangan tersebut begitu meresahkan. Pada hari Minggu, firma keamanan siber OX Security melaporkan bahwa paket berbahaya baru yang meniru malware asli telah mencuri kredensial cloud dan dompet kripto, kunci SSH, dan variabel lingkungan. Pada saat yang sama, beberapa varian mencoba mengubah mesin yang terinfeksi menjadi botnet DDoS. “Satu bukti memberatkan bahwa ini adalah aktor yang berbeda dari TeamPCP adalah bahwa kode malware Shai-Hulud hampir merupakan salinan persis dari kode sumber yang bocor, tanpa teknik obfuscation, yang membuat versi akhir terlihat berbeda secara visual dari aslinya,”

Status data✓ Teks lengkap telah diambilBaca artikel asli (Decrypt)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset6 berita

2026-05-29

Pakar Mengatakan Waktu Terus Berdetak untuk XRP, Inilah yang Perlu Diketahui

Tingkat kemiripan 130%關鍵字 what/know

2026-05-27

5 Hal yang Perlu Diketahui Tentang Yi He, Bos Kripto Pertama dalam Daftar Most Powerful Women Fortune

Tingkat kemiripan 130%關鍵字 about/know

2026-05-25

3 Hal yang Perlu Diketahui Tentang Kevin Warsh, Ketua Fed yang Baru

Tingkat kemiripan 130%關鍵字 about/know

2026-05-22