Paket npm yang Terhubung dengan Korea Utara Meniru Rollup Polyfills untuk Mencuri Rahasia Pengembang
Pelaku ancaman yang memiliki hubungan dengan Korea Utara telah dikaitkan dengan serangkaian paket npm berbahaya baru yang menyamar sebagai alat polyfill Rollup untuk memfasilitasi akses jarak jauh dan pencurian data.
Sumber: thehackernews. com
Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan alat dan strategi keamanan siber. Pelaku ancaman yang memiliki hubungan dengan Korea Utara telah dikaitkan dengan serangkaian paket npm berbahaya baru yang menyamar sebagai alat polyfill Rollup untuk memfasilitasi…
Pelaku ancaman yang memiliki hubungan dengan Korea Utara telah dikaitkan dengan serangkaian paket npm berbahaya baru yang menyamar sebagai alat polyfill Rollup untuk memfasilitasi akses jarak jauh dan pencurian data.
Menurut JFrog, paket "rollup-packages-polyfill-core" dan "rollup-runtime-polyfill-core" meniru proyek " rollup-plugin-polyfill-node " yang sah, hingga ke deskripsi, metadata repositori, dan bentuk paket.
“Paket tahap kedua adalah utilitas SVG yang hampir identik yang mengambil objek JSON dari JSONKeeper dan mengevaluasi bidang model,” kata perusahaan keamanan siber tersebut. “Struktur berlapis ini, bersama dengan nama yang mirip, metadata yang tampak sah, eksekusi waktu instalasi yang tersembunyi, pemeriksaan lingkungan, dan muatan pencurian kredensial/akses jarak jauh, mirip dengan kampanye npm terkait Lazarus di Korea Utara sebelumnya.”
Perlu ditekankan di sini bahwa ini bukan pertama kalinya pelaku ancaman Korea Utara mengunggah paket npm yang meniru alat polyfill Rollup. Pada bulan April 2026, Panther merinci kampanye npm berkelanjutan yang melibatkan penerbitan 108 paket npm berbahaya yang mencakup 261 versi untuk menghadirkan BeaverTail dan OtterCookie, dua keluarga malware terkenal yang terkait dengan Contagious Interview. Di antara paket tersebut adalah "rollup-plugin-polyfill-route", yang diterbitkan pada tanggal 20 Maret 2026.
“Plugin Rollup biasanya dimuat dari file konfigurasi lokal, stasiun kerja pengembang, dan pekerjaan CI,” kata JFrog. “Lingkungan ini sering kali memiliki akses ke aset sensitif seperti kode sumber, token npm, kredensial Git, kunci cloud, kunci SSH, data browser, dan rahasia proyek.”
Paket npm bernama " o3forms " yang mencuri kredensial penyedia layanan cloud, memindai rahasia pengembang dan lingkungan CI/CD, melakukan pengintaian jaringan internal, dan menyaring data ke titik akhir Cloudflare Workers yang dikendalikan penyerang. “Penyerang membagi serangan menjadi paket yang sengaja tidak berbahaya, yang diterbitkan dalam registri dan sub-dependensi *-utils yang disematkan di GitHub yang membawa kait instalasi dan malware sebenarnya,” kata Tran. "Struktur ini dirancang khusus untuk mengalahkan pemindaian skrip statis dan siklus hidup yang diandalkan oleh sebagian besar alat sisi registri dan sisi CI."
Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan alat dan strategi keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.