Apa yang terjadi pada paket npm Red Hat?

Lebih dari 30 paket npm Layanan Cloud Red Hat dikompromikan setelah penyerang membajak akun GitHub seorang karyawan Red Hat dan mendorong komit berbahaya yang berisi varian malware pencuri kredensial yang disebut Mini Shai‑Hulud.

Bagaimana penyerang mengkompromikan paket-paket tersebut?

Mereka pertama-tama mengkompromikan satu akun GitHub karyawan Red Hat, lalu menggunakan identitas pengembang yang sah itu untuk mendorong kode terinfeksi langsung ke repositori, melewati pemeriksaan kepercayaan otomatis.

Apa itu malware Mini Shai‑Hulud dan bagaimana cara kerjanya?

Ini adalah pencuri kredensial yang berjalan secara otomatis pada waktu instalasi paket (`npm install`), segera mengumpulkan kunci akses cloud, kunci SSH, dan file konfigurasi Kubernetes dari sistem target.

Kredensial apa yang dicari penyerang?

Malware menargetkan file kredensial AWS, Google Cloud Platform, dan Azure, serta kunci privat SSH dan file konfigurasi Kubernetes, yang semuanya dapat memberikan akses luas ke infrastruktur produksi.

Mengapa pipeline CI/CD sangat rentan terhadap serangan ini?

Runner CI/CD sering menyimpan kredensial cloud berumur panjang sebagai variabel lingkungan atau secret yang dipasang, sehingga satu runner build yang terinfeksi dapat diam-diam membocorkan kunci yang mengendalikan seluruh lingkungan cloud.

Paket npm Red Hat Diserang: 30+ Repositori Sebarkan Pencuri Kredensial Cloud

Kampanye pencurian kredensial cloud melalui serangan rantai pasok npm yang terkoordinasi telah menimpa salah satu nama paling dikenal di perangkat lunak perusahaan. Penyerang tak dikenal mengkompromikan lebih dari 30 paket npm Layanan Cloud Red Hat dengan terlebih dahulu membajak akun GitHub seorang karyawan Red Hat, lalu menggunakan akses tersebut untuk mendorong komit berbahaya. Malware yang disematkan dalam paket-paket ini, yang diidentifikasi sebagai varian dari strain 'Mini Shai-Hulud', berjalan secara otomatis pada saat instalasi dan segera mulai mengeksfiltrasi kredensial cloud, termasuk kunci akses AWS, GCP, dan Azure, bersama dengan kunci SSH dan file konfigurasi Kubernetes.

Insiden ini menonjol bukan karena kelemahan dalam npm itu sendiri, tetapi karena cara penyerang masuk: melalui identitas pengembang yang sah dan terpercaya.

Bagaimana Paket npm Red Hat Dikompromikan

Rantai serangan dimulai dengan kompromi satu akun GitHub milik seorang karyawan Red Hat. Setelah masuk ke akun itu, penyerang memiliki akses yang diperlukan untuk mendorong kode langsung ke repositori yang terkait dengan paket npm Layanan Cloud Red Hat. Karena komit berasal dari akun kontributor yang dikenal, pipeline otomatis dan peninjau sejawat menghadapi hambatan yang jauh lebih tinggi untuk mendeteksi sesuatu yang mencurigakan.

Ini adalah ciri khas serangan rantai pasok perangkat lunak: muatan berbahaya berjalan di dalam perangkat lunak yang sah, ditandatangani dan didistribusikan melalui saluran tepercaya. Pengembang yang memasang atau memperbarui paket yang terpengaruh selama jendela kompromi akan tanpa sadar menjalankan malware di sistem mereka sendiri, tanpa peringatan yang jelas. Paket itu sendiri tetap berfungsi normal, membuat deteksi semakin sulit.

Varian malware 'Mini Shai-Hulud' secara khusus direkayasa untuk berjalan pada waktu instalasi, tepat saat pengembang mengetik npm install. Malware ini tidak menunggu aplikasi diluncurkan atau pengguna berinteraksi dengannya. Pendekatan ini secara dramatis mempersingkat waktu antara infeksi dan eksfiltrasi.

Kredensial Apa yang Dicuri dan Mengapa Itu Penting

Daftar target malware ini bagaikan daftar periksa hal-hal paling merusak yang bisa diekstrak penyerang dari stasiun kerja pengembang atau runner pipeline CI/CD. File kredensial AWS, Google Cloud Platform, dan Azure adalah target utama, karena kunci-kunci ini sering membawa izin yang luas di seluruh infrastruktur produksi. Kunci privat SSH dan file konfigurasi Kubernetes melengkapi hasil curian, memberi penyerang jalur gerakan lateral potensial ke jaringan internal dan klaster orkestrasi kontainer.

Bagi organisasi yang menjalankan pipeline build otomatis, risiko paparan menjadi lebih besar. Sistem CI/CD sering menyimpan kredensial cloud berumur panjang sebagai variabel lingkungan atau secret yang dipasang. Satu runner build yang terinfeksi bisa diam-diam menyerahkan kunci yang mengendalikan seluruh lingkungan cloud, berpotensi membuka pintu bagi eksfiltrasi data, penyebaran ransomware, atau akses pintu belakang yang persisten.

Ini juga mengapa tim keamanan perlu mengingat bahwa titik masuk rantai pasok sering kali berantai ke kompromi sistem yang lebih dalam. Penandaan CISA terhadap CVE-2026-31431, celah eskalasi hak istimewa lokal Linux, adalah pengingat langsung: penyerang yang mendarat di sistem dengan kredensial curian atau akses awal jarang berhenti di situ. Mereka mencari tautan berikutnya dalam rantai.

Mengapa Serangan Rantai Pasok Menjadi Titik Buta bagi Keamanan Standar

Perangkat keamanan konvensional dibangun di atas asumsi bahwa kode eksternal, tidak ditandatangani, atau tidak dikenal adalah ancaman. Firewall, agen deteksi titik akhir, dan pemindai berbasis tanda tangan dikalibrasi untuk menandai anomali. Serangan rantai pasok menggagalkan model itu dengan bersembunyi di dalam perangkat lunak yang memiliki tanda tangan sah dan tiba melalui saluran yang diharapkan.

Dalam kasus ini, merek Red Hat dan riwayat akun GitHub terkait akan memberikan tingkat kepercayaan implisit yang tinggi pada paket yang dikompromikan. Pengembang yang bekerja pada infrastruktur terkait Red Hat mungkin memasang paket-paket ini justru karena mereka mengharapkannya terpelihara dengan baik dan aman.

Alat pemindaian dependensi standar yang memeriksa versi rentan yang diketahui tidak akan menangkap pencuri kredensial saat instalasi kecuali versi berbahaya tersebut sudah ditandai di basis data kerentanan. Serangan ini mengeksploitasi kesenjangan antara deteksi 'yang sudah dikenal buruk' dan analisis perilaku.

Pertahanan Berlapis: Manajemen Secret, Segmentasi Jaringan, dan VPN

Tidak ada satu kontrol pun yang dapat menghentikan serangan rantai pasok yang canggih, tetapi pertahanan berlapis dapat secara signifikan mengurangi radius ledakan.

Manajemen secret daripada file kredensial lokal. Mitigasi paling efektif adalah menghilangkan file kredensial statis dari mesin pengembang dan runner CI/CD sepenuhnya. Alat yang mengeluarkan kredensial berumur pendek, tepat waktu berarti bahwa bahkan jika kredensial dicuri, kredensial itu kedaluwarsa sebelum penyerang dapat menggunakannya secara berarti.

Penyematan dependensi dan verifikasi integritas. Mengunci paket pada hash komit tertentu yang diverifikasi daripada rentang versi mengambang membatasi paparan terhadap perubahan kode yang tidak terduga. Menggabungkan ini dengan pemeriksaan integritas otomatis pada konten paket menambah lapisan deteksi lainnya.

Segmentasi jaringan dan penyaringan egress. Malware Mini Shai-Hulud perlu mengirim data curian ke suatu tempat. Membatasi koneksi keluar dari lingkungan build dan mesin pengembang ke titik akhir yang dikenal dapat mencegah eksfiltrasi bahkan ketika malware berhasil berjalan. VPN dan arsitektur jaringan zero-trust dapat menegakkan kebijakan egress ini secara konsisten di seluruh tim yang terdistribusi.

Otentikasi multi-faktor pada setiap akun pengembang. Kompromi awal di sini adalah pengambilalihan akun GitHub. Persyaratan MFA yang kuat, terutama kunci keamanan perangkat keras atau otentikasi berbasis passkey, membuat pembajakan akun jauh lebih sulit.

Pemantauan perilaku di pipeline CI/CD. Memberi peringatan pada kueri DNS keluar yang tidak terduga atau koneksi jaringan selama fase build dapat mengungkap malware saat instalasi sebelum kredensial curian digunakan.

Apa Artinya Bagi Anda

Jika lingkungan pengembangan atau operasi Anda bergantung pada paket npm Layanan Cloud Red Hat apa pun, prioritas langsung adalah mengaudit versi paket mana yang digunakan, memeriksa indikator kompromi di log jaringan sekitar peristiwa instalasi, dan merotasi semua kredensial cloud yang mungkin ada di sistem yang terpengaruh.

Secara lebih luas, insiden ini adalah dorongan untuk meninjau kebersihan kredensial cloud Anda dari ujung ke ujung. Apakah kredensial disimpan sebagai file di mesin pengembang? Apakah variabel lingkungan CI/CD dibatasi pada hak istimewa minimum? Apakah MFA ditegakkan pada setiap akun dengan hak penerbitan paket?

Serangan rantai pasok berhasil dengan mengeksploitasi kepercayaan. Tindakan penangkalnya adalah membangun sistem yang tidak hanya mengandalkan kepercayaan implisit, identitas terverifikasi, secret berbatas waktu, dan pemantauan perilaku adalah fondasinya. Mulailah dengan audit kredensial hari ini, dan perlakukan setiap dependensi sebagai permukaan serangan potensial yang pantas diperiksa.