Worm GitHub Menyerang Paket npm dengan 16 Juta Unduhan

📄Artikel lengkap· Diambil secara otomatis oleh trafilaturaGemini 翻譯3520 kata

Sebuah worm yang mereplikasi diri sendiri yang membajak pipeline GitHub Actions untuk mempublikasikan paket npm berbahaya telah menyerang kembali, mengompromikan AntV, echarts-for-react, dan durabletask SDK milik Microsoft. GitHub Worm Menyerang Paket npm Dengan 16 Juta Unduhan Poin-Poin Utama Mini Shai-Hulud Mengeksploitasi GitHub Actions untuk Mencapai 16 Juta Unduhan Mingguan Kampanye Mini Shai-Hulud, yang dikaitkan dengan kelompok ancaman Team PCP, tidak bekerja seperti kebanyakan serangan rantai pasokan karena, alih-alih mencuri kredensial pengembang dan mempublikasikannya secara langsung, penyerang melakukan fork pada repositori target di GitHub, membuka pull request yang memicu alur kerja `pull_request_target`. Ini meracuni cache GitHub Actions dengan penyimpanan pnpm berbahaya, dan sejak saat itu, paket yang terinfeksi membawa sertifikat yang ditandatangani secara valid dan lolos pemeriksaan asal SLSA, sehingga membuatnya tampak benar-benar bersih bagi alat keamanan standar. Pada 19 Mei, gelombang terbaru menyerang ekosistem visualisasi data AntV saat penyerang mendapatkan akses ke akun pengelola yang dikompromikan di namespace @atool dan mempublikasikan lebih dari 300 versi paket berbahaya di 323 paket dalam ledakan otomatis selama 22 menit. Di antara paket yang terdampak adalah echarts-for-react, sebuah wrapper React untuk Apache Echarts dengan sekitar 1,1 juta unduhan mingguan. Total jumlah unduhan mingguan di semua paket yang terdampak dalam gelombang ini diperkirakan mencapai sekitar 16 juta. Detail teknis yang paling mengkhawatirkan adalah apa yang terjadi jika pengembang mencoba melakukan intervensi. Malware tersebut memasang dead-man’s switch, yaitu skrip shell yang melakukan polling ke API GitHub setiap 60 detik untuk memeriksa apakah token npm yang dibuatnya telah dicabut. Token tersebut membawa deskripsi “IfYouRevokeThisTokenItWillWipeTheComputerOfTheOwner,” yang jika dicabut oleh pengembang, akan segera menghapus direktori home mesin yang terinfeksi. Token tersebut juga mencuri kredensial dari GitHub, AWS, Azure, GCP, Kubernetes, Hashi Corp Vault, dan lebih dari 90 konfigurasi alat pengembang sebelum menyebar secara lateral ke seluruh infrastruktur cloud yang terhubung. Satu Serangan, Banyak Korban Kampanye ini secara bersamaan menyerang Python Package Index (PyPI) saat tiga versi berbahaya dari durabletask Python SDK resmi milik Microsoft dipublikasikan pada 19 Mei, secara diam-diam mengunduh dan mengeksekusi payload pencuri kredensial berukuran 28 KB (yang mampu bergerak melintasi lingkungan AWS, Azure, dan GCP setelah eksekusi awal). GitHub merespons pada 20 Mei dengan pengumuman yang menguraikan tiga perubahan inti pada publikasi npm, yaitu onboarding OIDC massal untuk membantu organisasi memigrasikan ratusan paket ke publikasi tepercaya dalam skala besar, dukungan penyedia OIDC yang diperluas di luar GitHub Actions dan Gitlab, serta model publikasi bertahap baru yang memberikan jendela peninjauan bagi pengelola sebelum paket ditayangkan, yang memerlukan persetujuan multi-factor authentication (MFA). Perusahaan juga berencana untuk menghentikan penggunaan token klasik lama, memigrasikan pengguna ke 2FA berbasis FIDO, dan melarang publikasi berbasis token secara default. Pada gelombang kampanye sebelumnya di September 2025, GitHub menghapus lebih dari 500 paket yang dikompromikan dari registri npm. Firma keamanan blockchain Slowmist telah memberikan peringatan dini pada 14 Mei setelah menandai tiga versi berbahaya dari node-ipc, sebuah paket dengan 822.000 unduhan mingguan, sebagai bagian dari kampanye yang sama. Pengembang yang menggunakan paket yang ditandai disarankan untuk segera mengaudit pohon dependensi, merotasi semua kredensial tanpa mencabut token berbahaya terlebih dahulu, dan memeriksa indikator kompromi yang dipublikasikan oleh Snyk, Wiz, Socket.dev, dan Step Security.

Status data✓ Teks lengkap telah diambilBaca artikel asli (Bitcoin.com)

🔍Peristiwa serupa dalam sejarah· Pencocokan kata kunci + aset0 berita

Tidak ada peristiwa serupa yang ditemukan (memerlukan lebih banyak sampel data atau pencarian embedding, saat ini menggunakan pencocokan kata kunci MVP)

Informasi mentah

ID:9ba20d314a

Sumber:Bitcoin.com

Diterbitkan:2026-05-20 06:05:26

Kategori:Umum · Kategori ekspor neutral

Aset:Tidak ditentukan

Voting komunitas:+0 / −0 · ⭐ 0 Penting · 💬 0 Komentar