![]()
Jscrambler, perusahaan keamanan web sisi klien (client-side), mengungkapkan bahwa aktor ancaman menerbitkan versi berbahaya dari paket npm mereka yang telah diunduh hampir 1.500 kali dalam jendela waktu dua jam. Versi berbahaya ini menyuntikkan malware pencuri informasi (infostealer) yang berjalan selama proses instalasi.
Apa yang Terjadi?
Pada 11 Juli 2026, versi berbahaya paket Jscrambler dipublikasikan ke registry npm. Paket ini mencakup rilis 8.14, 8.16, 8.17, dan 8.20, masing-masing mengandung malware pencuri informasi yang dieksekusi melalui preinstall hook.
Jscrambler merespons dengan cepat — versi berbahaya bertahan selama dua jam sebelum perusahaan men-deprecate paket tersebut dan merilis versi aman 8.22. Namun dalam dua jam itu, paket telah diunduh 1.479 kali.
Detil Teknis
Paket berbahaya menargetkan pencurian data yang sangat luas:
- Kode sumber dan file proyek
- Kredensial developer: Git, SSH, environment variables, token CI/CD
- Kredensial cloud: AWS, Azure, GCP, Kubernetes secret managers
- Konfigurasi AI coding tools: Claude, Cursor, Windsurf, VS Code, Zed, termasuk MCP configurations
- Wallet cryptocurrency dan seed phrase: MetaMask, Phantom, Coinbase, Exodus, Trust Wallet
- Data browser: Cookie dan kredensial tersimpan
- Aplikasi messaging: Slack, Discord, Telegram
Malware menggunakan enkripsi ChaCha20-Poly1305 dengan obfuscation per-string yang kuat, membuat reverse engineering menjadi sangat sulit. Kompromi ini dimungkinkan karena kredensial publikasi npm perusahaan telah disusupi.
Paket Jscrambler memiliki 17.000 unduhan per minggu dan merupakan dependency untuk empat paket Jscrambler lainnya yang juga ikut terdampak.
Dampak terhadap Indonesia
Indonesia memiliki komunitas developer yang terus berkembang, dan banyak di antaranya menggunakan npm sebagai package manager utama. Paket Jscrambler yang kompromi ini berpotensi menyerang ribuan lingkungan pengembangan di Indonesia, termasuk kredensial cloud yang bisa membuka akses ke infrastruktur produksi.
Rekomendasi Mitigasi
- Periksa versi paket: Pastikan Anda tidak menjalankan versi 8.14, 8.16, 8.17, atau 8.20
- Rotate semua secrets: Jika paket pernah diinstal dalam jendela waktu kompromi, anggap seluruh environment sebagai compromised
- Gunakan lockfile: Selalu gunakan package-lock.json untuk memastikan versi yang konsisten
- Audit dependencies: Gunakan
npm auditsecara rutin untuk memeriksa vulnerability - Isolasi build environment: Jalankan proses build di container atau VM terisolasi
“Meskipun Jscrambler bereaksi dengan cepat, versi berbahaya bertahan selama dua jam sebelum dinonaktifkan — cukup waktu untuk mengunduh dan menjalankan malware di ribuan mesin developer,” lapor Socket, perusahaan keamanan aplikasi yang mendeteksi kompromi ini.
Sumber: BleepingComputer
