Cyberthreat.id – Perusahaan keamanan siber AS, Sonatype, menemukan malware yang membawa komponen jahat, tapi menyamar layaknya komponen npm Browserify populer.

Komponen berbahaya itu terdeteksi oleh sistem deteksi malware otomatis Sonatype, Release Integrity, akhir pekan lalu. Setelah dianalisis lebih jauh, paket berbahaya itu dipublikasikan ke registri npm, yang menargetkan pengembang NodeJS—sumber terbuka untuk mengembangkan aplikasi—yang menggunakan sistem operasi Linux dan Apple macOS.

Perlu diketahui, npm merupakan tempat diterbitkannya pustaka dan aplikasi Node.js serta digunakan sebagai utilitas baris perintah untuk berinteraksi dengan repositori yang membantu dalam instalasi paket, manajemen versi dan manajemen ketergantungan, menurut NodeJS.org.

Sonatype mengatakan malware terdapat dalam npm brandjacking yang disebut "web-browserify", dan meniru komponen npm Browserify populer yang sah, seperti dikutip dari BleepingComputer, diakses Kamis (15 April 2021),

Browserify adalah alat JavaScript yang memungkinkan pengembang mengompilasi modul node untuk digunakan pada browser. Web-browserify itu dibangun dengan menggabungkan ratusan komponen sumber terbuka yang sah dan melakukan aktivitas pengintaian ekstensi pada sistem yang terinfeksi.

Ketika web-browserify diinstal oleh pengembang, skrip mengekstrak dan meluncurkan biner Linux "run" dari arsip yang meminta izin tingkat tinggi atau root dari pengguna. Run biner yang diekstrak berukuran sekitar 120MB dan memiliki ratusan komponen npm sumber terbuka yang sah digabungkan di dalamnya—ini yang disalahgunakan untuk aktivitas berbahaya.

Malware tersebut dapat mengumpulkan bit informasi dari sistem yang terinfeksi antara lain:

• nama pengguna sistem
• informasi sistem operasi seperti pabrikan/merek
• informasi tentang Docker images
• perangkat yang terhubung dengan Bluetooth
• mesin virtual hadir di sistem atau jika virtualisasi diaktifkan
• kecepatan CPU, model, dan inti
• ukuran RAM
• kapasitas hard drive
• tata letak disk
• arsitektur sistem
• informasi perangkat keras terkait kartu/antarmuka jaringan
• baterai
• WiFi, dan
• perangkat USB dan lain-lain.

Data-data itu kemudian dieksfiltrasikan ke domain perintah dan kontrol (C2) penyerang melalui koneksi teks biasa (HTTP).

Malware berbasis “Executable and Linkable Format (ELF)” yang digunakan untuk file yang dapat dieksekusi dalam paket web-browserify ini, kata Sonatype, memiliki kemampuan menghindari deteksi oleh semua mesin antivirus terkemuka.

Pada saat analisis Sonatype, tingkat deteksi malware itu memiliki skor nol sempurna pada VirusTotal, analisis antivirus online.

Padahal, sampel itu telah dikirim ke VirusTotal pada 10 April 2021, tetapi pada saat dianalisis oleh Sonatype akhir pekan lalu belum ada mesin antivirus yang menandai bahwa itu berbahaya. Tidak diketahui mengapa hal itu bisa terjadi, tetapi ini kemungkinan karena menggunakan aplikasi perangkat lunak asli melakukan aktivitas jahatnya sehingga tidak dideteksi berbahaya.

Namun pantauan Cyberthreat.id, Jumat (16 April), sudah ada 16 mesin antivirus yang menandai malware dalam web-browserify itu sebagai Trojan, cek di sini, antara lain:

• Ad-Aware           : Trojan.Linux.Agent.IOL
• AhnLab-V3          : Trojan/Linux.Browserify.125212623
• ALYac                    : Trojan.Linux.Agent.BN
• Arcabit                 : Trojan.Linux.Agent.IOL
• BitDefender       : Trojan.Linux.Agent.IOL
• eScan                    : Trojan.Linux.Agent.IOL
• ESET-NOD32       : Linux/Agent.LJ
• FireEye                 : Trojan.Linux.Agent.IOL
• GData                   : Trojan.Linux.Agent.IOL
• MAX                      : Malware (ai Score=87)
• Qihoo-360           : Linux/Trojan.Generic.HgAASS0A
• Symantec            : Trojan Horse

Kemampuan yang ditemukan dari malware itu ialah dapat merusak file sistem yang penting, melakukan pengintaian dan sidik jari yang ekstensif, serta melakukan eksfiltrasi data.[]

Redaktur: Andi Nugroho