Buletin ThreatsDay: Kode Worm Bocor, Agen AI Phished, Patch Kode Claude + 28 Cerita Baru

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Anda mungkin akan mendengar suara-suara yang biasa: malware daur ulang, serangan ceroboh, dan sasaran empuk lainnya.

Ini adalah salah satu minggu itu. Anda mungkin akan mendengar suara-suara yang biasa: malware daur ulang, serangan ceroboh, dan sasaran empuk lainnya. Sebaliknya, terdapat perangkat serangan rantai pasokan di repositori publik, RAT senilai $5.000 per bulan yang mengkloning browser, dan penelitian yang menunjukkan bahwa agen AI dapat ditipu untuk membocorkan kredensial sebenarnya.

Toolkit rantai pasokan terungkap Kerangka serangan pencurian kredensial Miasma sempat tersedia secara gratis di GitHub, setelah beberapa repositori dengan nama "Miasma-Open-Source-Release" mulai muncul sejak 8 Juni 2026. Menurut SafeDep, kode sumber telah dipublikasikan melalui akun pengembang yang disusupi. “Basis kode Miasma tampaknya lebih besar daripada worm rantai pasokan,” kata SafeDep. “Ini adalah perangkat serangan rantai pasokan lengkap yang memungkinkan operator untuk melakukan berbagai serangan melalui kredensial yang dicuri terhadap paket sewenang-wenang atau ditargetkan pada registri publik (PyPI, npm, RubyGems), JFrog Artifactory, repositori GitHub dan GitHub Actions, alat pengkodean AI keracunan konfigurasi, pergerakan lateral berbasis SSH, dan vektor serangan lainnya.” Berbeda dengan mengandalkan infrastruktur perintah-dan-kontrol (C2) konvensional, malware ini menggunakan tiga saluran C2 independen menggunakan pencarian komit GitHub, masing-masing dengan string pencarian dan kunci kripto yang berbeda: "DontRevokeOrItGoesBoom" untuk menemukan token akses pribadi (PAT) yang dikendalikan penyerang untuk eksfiltrasi data, "TheBeautifulSandsOfTime" untuk mengirimkan JavaScript, dan "firedalazer" untuk mengirimkan URL skrip Python yang bertindak sebagai pintu belakang eksekusi kode jarak jauh. Miasma dinilai merupakan varian dari cacing Shai-Hulud. Kampanye tersebut telah berubah menjadi varian Python yang disebut Hades, yang mewakili evolusi terbaru dari kampanye rantai pasokan perangkat lunak berkelanjutan. Hingga minggu lalu, total 304 komponen terkena dampak Miasma.

RAT lintas platform muncul Iru telah menganalisis RAT lintas platform baru yang disebut SStar Agent yang dirancang untuk sistem Windows dan macOS. “Build macOS adalah alat pengawasan yang sangat berinstrumen yang berfokus pada pengintaian dan eksfiltrasi, sementara Windows membuat lapisan pada pengait keyboard, monitor clipboard, dan kontrol mouse/keyboard jarak jauh,” kata perusahaan itu. “Secara khusus, malware ini menyertakan permintaan POST dalam jumlah besar melalui endpoint /api/telemetry/report yang terus-menerus memantau dan mengekstraksi seluruh pohon direktori untuk memantau file yang diinginkan. Kesenjangan antara versi Windows dan macOS menunjukkan bahwa ini masih dalam proses.” Malware ini dikirimkan melalui paket npm beracun bernama "tw-style-utils." Iming-imingnya adalah penilaian teknis Web3 palsu, repositori GitHub ("star45674/smart-contract-engineer-role") yang kemungkinan didistribusikan ke target. Meskipun repositori itu sendiri bersih, muatannya berada dalam ketergantungan npm. Meskipun tidak jelas siapa yang berada di balik malware tersebut, aktivitas tersebut tumpang tindih dengan serangan rekayasa sosial yang sebelumnya dilakukan oleh kelompok peretas Korea Utara.

Gelombang phishing yang berfokus pada Rusia Sebuah kelompok yang sebelumnya tidak dikenal yang dikenal sebagai SiribClone telah menargetkan personel militer Rusia menggunakan aplikasi umpan untuk "pertukaran foto yang aman" guna mendistribusikan file berbahaya ke desktop dan perangkat seluler. Dalam beberapa kasus, anggota kelompok tersebut menyamar sebagai wanita yang mencari hubungan romantis untuk menginfeksi ponsel pintar, komputer, dan akun Telegram. Grup ini telah aktif sejak awal tahun 2025. Serangan yang menargetkan perangkat Android mengarah pada penyebaran spyware bernama SafeLoveStealer yang dapat mencuri foto, video, dokumen, dan data lokasi. Sistem Windows, sebaliknya, terinfeksi oleh pencuri yang dikenal sebagai SiribGrabber. Malware ini didistribusikan melalui email phishing yang berisi arsip ZIP yang disamarkan sebagai dokumen bertema militer. Selain itu, kelompok ini mengoperasikan situs phishing yang meniru halaman login Telegram untuk mengelabui target agar memasukkan nomor telepon, kode verifikasi, dan kata sandi autentikasi dua faktor, sehingga memungkinkan mereka mengambil kendali atas akun tersebut. Yang juga terkait dengan pelaku ancaman adalah alat bernama Kontur yang menyimpan sesi Telegram yang dicuri dan memungkinkan operator meninjau pesan yang diambil. Universitas maritim Rusia, fasilitas energi, misi diplomatik, dan lembaga pemerintah juga telah menjadi sasaran kampanye phishing oleh kelompok tak dikenal setidaknya sejak Juli 2024. Gelombang serangan baru-baru ini menggunakan kerangka kerja C2 yang disebut Ravage, meskipun dua kampanye phishing berbeda yang diamati pada tahun 2024 telah menggunakan Cobalt Strike. Kelompok peretas ketiga yang menyerang Rusia (bersama dengan Belarus) adalah Cloud Atlas, yang terpaksa mengirim email phishing dengan arsip ZIP yang berisi pintasan berbahaya yang meluncurkan skrip PowerShell, membuka jalan bagi malware seperti VBShower dan PowerShower, yang terakhir digunakan untuk menjatuhkan perampas kredensial. Pergerakan lateral melalui RDP, SSH, dan RevSocks dicapai melalui PAExec atau PsExec sebagai bagian dari kerangka kerja yang dikenal sebagai PowerAdmin. Selain itu, serangan tersebut melibatkan dua alat baru: PowerCloud, yang mengumpulkan data pengguna dengan hak istimewa administrator dan menuliskannya ke Google Spreadsheet, dan Pemeriksa browser, skrip PowerShell yang memeriksa apakah proses browser (Chrome, Edge, Firefox, dan lainnya) sedang berjalan.

Pintu belakang ClickFix meluas Pelaku ancaman terkait ransomware telah menggunakan keluarga malware baru bernama MLTBackdoor yang dikirimkan melalui ClickFix. “MTLBackdoor mendukung serangkaian perintah seperti mengunduh dan mengunggah file dari sistem korban,” kata Zscaler ThreatLabz. “Namun, salah satu fitur paling canggih adalah kemampuan memuat Beacon Object Files (BOFs) untuk memperluas kemampuannya.” Malware ini ditemukan pada Mei 2026. Dalam beberapa bulan terakhir, serangan ransomware dan pemerasan data yang melibatkan DragonForce dan World Leaks telah menggunakan pintu belakang seperti VIPERTUNNEL, malware Python yang sebelumnya ditautkan ke RansomHub, dan RustyRocket, alat Rust yang dibuat khusus untuk memfasilitasi eksfiltrasi data rahasia dan akses terus-menerus. “Setelah penyerang menjalankannya, RustyRocket dapat dengan aman terhubung kembali ke server yang dikendalikan penyerang menggunakan lalu lintas yang sangat terenkripsi dan berlapis yang menyatu dengan aktivitas internet normal, sehingga sangat sulit dideteksi oleh pembela HAM,” kata T. Ryan Whelan dari Accenture. “Malware ini adalah arsitektur komunikasi terintegrasi yang dibangun untuk persistensi dan kebingungan.”

Rantai pasokan STX RAT berkembang Serangan rantai pasokan yang menargetkan CPUID untuk mengirimkan STX RAT memiliki cakupan yang lebih luas dari yang diperkirakan sebelumnya, dengan analisis baru dari Cyderes mengungkap tujuh paket trojan tambahan yang terkait dengan kampanye yang sama. “Semua paket mengikuti mekanisme pengiriman yang sama,” kata perusahaan keamanan siber itu. "Aktor tersebut, yang beroperasi dengan nama samaran Leda Elacoate (pufferfish11@firemail[.]cc), membangun dan memelihara repositori Bitbucket yang berisi penginstal trojan selama kurang lebih satu bulan, menargetkan berbagai demografi pengguna." Di antara paket yang terkena dampak adalah X-VPN, VPN konsumen dengan lebih dari 100 juta pengguna yang dilaporkan. Pengguna yang menginstal X-VPN dari saluran resmi tidak terpengaruh. “Aktor ini memulai dengan pertukaran mata uang kripto dan perangkat lunak perdagangan sebagai umpan, menargetkan pengguna yang mungkin memiliki akses ke akun keuangan, dan secara bertahap memperluas portofolio umpan tersebut melalui umpan rekayasa sosial dan perangkat lunak VPN,” tambah Cyderes.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari thehackernews. com