You are currently viewing Paket jQuery Trojan Ditemukan di npm, GitHub, dan jsDelivr

Paket jQuery Trojan Ditemukan di npm, GitHub, dan jsDelivr

Pengguna internet harus waspada terhadap paket jQuery berbahaya yang ditemukan di npm, GitHub, dan jsDelivr. Ini adalah bagian dari serangan siber yang rumit dan terus-menerus, yang diduga dilakukan oleh aktor ancaman yang tidak dikenal.

Apa yang Terjadi?

Peneliti keamanan dari Phylum menemukan bahwa versi trojan dari jQuery telah disebarkan di berbagai platform kode. Trojan adalah program berbahaya yang menyamar sebagai perangkat lunak yang sah untuk menipu pengguna agar menginstalnya. Dalam kasus ini, trojan disisipkan ke dalam fungsi “end” jQuery, yang secara internal memanggil fungsi animasi “fadeTo” yang lebih populer. Serangan ini memanfaatkan kenyataan bahwa fungsi “end” jarang digunakan, sehingga perubahan berbahaya lebih sulit dideteksi.

Detil Serangan

Sebanyak 68 paket jQuery palsu telah diidentifikasi. Paket-paket ini dipublikasikan di registri npm antara tanggal 26 Mei dan 23 Juni 2024. Beberapa nama paket yang terlibat adalah cdnjquery, footersicons, jquertyi, jqueryxxx, logoo, dan sytlesheets.

Tidak seperti serangan lainnya yang biasanya menggunakan otomatisasi, serangan ini tampak dilakukan secara manual. Penyerang memublikasikan paket dari berbagai akun dengan konvensi penamaan yang berbeda-beda dan menyertakan file pribadi, yang menunjukkan bahwa setiap paket dibuat dan dipublikasikan satu per satu.

Bagaimana Trojan Bekerja?

Perubahan berbahaya diperkenalkan dalam fungsi bernama “end”. Fungsi ini memungkinkan penyerang untuk mengirim data formulir situs web ke URL jarak jauh, sehingga mereka dapat mencuri informasi sensitif dari pengguna.

Selain itu, file jQuery yang di-trojan juga ditemukan di repositori GitHub yang terkait dengan akun bernama “indexsc.” File JavaScript yang berisi skrip berbahaya mengarahkan ke versi perpustakaan yang telah dimodifikasi. Phylum juga menemukan bahwa jsDelivr secara otomatis membuat URL dari repositori GitHub ini, sehingga penyerang mencoba untuk membuat sumber tampak lebih sah atau menyelinap melalui firewall dengan memanfaatkan layanan jsDelivr.

Apa yang Harus Dilakukan?

Pengguna harus waspada terhadap paket jQuery yang mencurigakan dan memastikan bahwa mereka mengunduh perangkat lunak hanya dari sumber yang tepercaya. Phylum merekomendasikan untuk memeriksa ulang paket yang diinstal dan menghindari menggunakan paket dengan nama yang tidak dikenal atau mencurigakan. Jika Anda sudah menginstal salah satu dari paket yang disebutkan, segera hapus dan ganti dengan versi yang sah.

Kesimpulan

Serangan ini menyoroti betapa pentingnya keamanan dalam pengelolaan dan penggunaan paket perangkat lunak. Selalu pastikan untuk mengunduh perangkat lunak dari sumber tepercaya dan tetap waspada terhadap paket yang tampaknya mencurigakan. Dengan cara ini, Anda dapat melindungi diri dari serangan siber yang dapat mencuri data pribadi dan merusak sistem Anda.