Cyberthreat.id – Pojoksatu.id, portal berita di bawah naungan Jawa Pos Grup, membenarkan temuan Palo Alto Networks terkait dengan skrip crypto mining atau penambangan mata uang kripto (cryptocurrency)

Developer Pojoksatu.id, Gun Gun Gumilar, yang dihubungi Cyberthreat.id, Minggu (4 Oktober 2020), menjelaskan bahwa serangan itu terjadi pada subdomain yang beralamat bandung.pojoksatu[.]id.

Ia mengetahui masalah tersebut tiga hari lalu, tak lama setelah Palo Alto Networks, perusahaan keamanan AS, itu rilis temuan di blog perusahaan, Rabu (30 September). (Baca: Riset Palo Alto Networks: Pojoksatu.id Masuk Daftar Situs Web Terinfeksi Coinminer Berbahaya)

Palo Alto Networks mengatakan setelah pengguna mengunjungi pojoksatu[.]id dan zoombangla[.]com, skrip coinminer akan secara otomatis berjalan dan mulai menambang untuk peretas. Beban komputer (CPU) pengguna akan meningkat.

“Secara keseluruhan, kami menemukan lebih dari 60 halaman URL yang diinjeksi dengan skrip mining Coinhive di pojoksatu [.] id dan zoombangla [.]com,” tulis perusahaan.

Coinhive adalah layanan sah yang menyediakan penambangan mata uang kripto Monero berbasis JavaScript yang mampu berjalan di web browser. Artinya, berjalan langsung dari web browser, skrip penambangan dapat mengontrol penggunaan komputer (CPU) dan jumlah utas yang dimunculkan untuk tujuan tersebut.

Coinhive ditutup pada Maret 2019 lantaran sebagian dari mereka disalahgunakan secara luas oleh penjahat dunia maya.

"[Namun,] ada dua situs web yang masih melayani skrip penambang Coinhive. Satu adalah coinhive.min.js dan yang lainnya adalah JSEcoin, " Palo Alto Networks menambahkan.

---

Baca:

• Awas, Indonesia Sasaran Cryptojacking, Kenali Ciri-ciri Serangannya
• Selama 2019, Kasus Cryptojacking dan Malware di Indonesia Tertinggi di Asia Pasifik
• 850 Ribu Komputer di 100 Negara Diserang Cryptojacking

---

Serangan orang dalam

Gun Gun mengatakan, skrip jahat yang menyerang server situs webnya sekarang sudah dihapus sejak Jumat (2 Oktober).

Saat ditanya penyebab itu bisa terjadi, ia menjawab bahwa kemungkinannya skrip ditanam oleh orang yang dulu punya akses ke situs web tersebut. 

“Sepertinya orang terdahulu punya akses pasang [skrip] itu,” kata Gun yang juga ikut memperbaiki masalah itu.

Ia juga belum tahu apakah karyawan itu saat ini masih bekerja atau telah mengundurkan diri dari perusahaan.

“Nah, saya kurang tahu itu. Dan, kebetulan yang bandung.pojoksatu[.]id  itu beda manajemen. Jadi, kami sepenuhnya menyerahkan pengelolaan sistem ke PT Radar Bandung, tapi menggunakan subdomain dari pojoksatu.id,” ujar Gun Gun.

Sebagai langkah pencegahan, ia menjelaskan, perusahaan meminta ke timnya untuk mengganti semua akses ke server situs web yang terkena dampak.

Serangan dari orang dalam, menurut Gun Gun, bukan pertama kali terjadi di Pojoksatu.id; sebelumnya subdomain yang beralamat jabar.pojoksatu[.]id juga pernah mengalami hal serupa.

“Tapi, karena jabar.pojoksatu[.]id ini masih satu manajemen, kami ubah aksesnya (ke server situs web) dan sampai saat ini tidak ada lagi. Dan, branding yang jadi jelek. Tapi, kami [pojoksatu.id] lagi tahap pembuatan mesin sendiri menggunakan teknologi terbaru,” ujar dia.

Menyangkut pengelolaan subdomain bandung.pojoksatu[.]id, ia belum tahu pasti apakah akan masuk ke manajemen menggunakan teknologi terbaru yang sedang tahap pembuatan itu atau tidak.

Namun, ia mengakui dampak dari skrip jahat itu adalah pelanggaran dari ad network dan SEO yang berujung pada branding yang jelek. Ia pun sudah melaporkan dampak kejadian tersebut ke atasannya.[]

Redaktur: Andi Nugroho