Tim keamanan di balik repositori “npm” untuk library JavaScript menghapus dua paket npm pada Senin (30/11/2020) karena berisi kode berbahaya yang memasang remote access trojan (RAT) di komputer pengembang yang mengerjakan proyek JavaScript.
Kedua paket npm yang ditemukan memasang remote access trojan tersebut adalah jdb.js dan db-json.js., dan keduanya dibuat oleh penulis yang sama dan dijelaskan sebagai alat untuk membantu pengembang bekerja dengan file JSON yang biasanya dibuat oleh aplikasi database.
Kedua paket diunggah di registri paket npm minggu lalu dan sudah diunduh lebih dari 100 kali sebelum perilaku berbahaya mereka terdeteksi oleh Sonatype, perusahaan yang memindai repositori paket secara rutin.
Menurut Ax Sharma dari Sonatype, kedua paket tersebut berisi skrip berbahaya yang dijalankan setelah pengembang web mengimpor dan menginstal salah satu dari dua library berbahaya tersebut.
Skrip post-install melakukan pengintaian dasar dari host yang terinfeksi dan kemudian mencoba mengunduh dan menjalankan file bernama patch.exe (VT scan) yang kemudian menginstal njRAT, juga dikenal sebagai Bladabindi, RAT yang sangat populer dan telah digunakan dalam operasi spionase dan pencurian data sejak 2015.
Untuk memastikan unduhan njRAT tidak akan memiliki masalah, Sharma mengatakan loader patch.exe juga memodifikasi firewall Windows lokal untuk menambahkan aturan agar memasukkan server command-and-control (C&C)-nya ke whitelist sebelum melakukan ping ke operator dan memulai unduhan RAT.
Semua perilaku ini hanya dimuat dalam paket jdb.js, sedangkan paket kedua, db-json.js, memuat yang pertama dalam upaya untuk menyamarkan perilaku berbahayanya.
Baca Juga: “Paket Npm Berbahaya Ini Mencuri File Sensitif Dari Discord dan Browser“
Karena infeksi dengan semua jenis malware seperti RAT dianggap sebagai insiden parah, dalam peringatan keamanan yang diterbitkan, tim keamanan npm menyarankan pengembang web untuk mempertimbangkan sistem mereka sebagai sepenuhnya disusupi, jika mereka menginstal salah satu dari dua paket tersebut.
“Setiap komputer yang menginstal atau menjalankan paket ini harus dianggap telah disusupi sepenuhnya,” kata tim npm.
“Semua rahasia dan key yang disimpan di komputer itu harus segera dirotasi dari komputer berbeda. Paket harus dihapus, tetapi karena kendali penuh atas komputer mungkin telah diberikan kepada entitas luar, tidak ada jaminan bahwa menghapus paket akan menghapus semua perangkat lunak berbahaya yang dihasilkan dari penginstalannya,” mereka juga menambahkan.
