Organisasi AsyncAPI di npm telah dikompromikan, dengan kode berbahaya yang disuntikkan ke empat package yang secara kumulatif memiliki lebih dari 2 juta download per minggu. Insiden ini terungkap pada 14 Juli 2026 oleh peneliti keamanan dari OX Security, yang mengungkapkan bahwa serangan supply chain ini membawa payload malware hybrid yang berfungsi sebagai info-stealer, crypto-stealer, sekaligus Remote Access Trojan (RAT).
Apa yang Terjadi?
AsyncAPI adalah spesifikasi dan toolkit yang sangat populer di kalangan pengembang event-driven API. Komunitas ini digunakan secara luas di berbagai perusahaan teknologi besar untuk membangun arsitektur microservices berbasis pesan. Kompromi terhadap package AsyncAPI berarti potensi dampak yang sangat luas, mengingat jumlah download yang masif dan penggunaannya di lingkungan pengembangan profesional.
Package yang terdampak meliputi @asyncapi/generator versi 3.3.1, @asyncapi/generator-components versi 0.7.1, @asyncapi/generator-helpers versi 1.1.1, dan @asyncapi/specs versi 6.11.2 serta 6.11.2-alpha.1. Peneliti OX Security menjelaskan bahwa ini merupakan serangan supply chain multi-stage yang sangat canggih, di mana penulis malware menyuntikkan kode berbahaya langsung ke dalam file JavaScript utama dari setiap package yang terdampak. Teknik ini memungkinkan malware berjalan secara otomatis saat package di-import dalam sebuah proyek, tanpa memerlukan post-install script yang dapat dideteksi oleh mekanisme keamanan npm.
Detail Teknis
Payload malware yang disuntikkan memiliki ukuran yang sangat besar, mencapai 91.973 baris kode. Infrastruktur komunikasi dirancang untuk ketahanan tinggi. Malware menggunakan IPFS (InterPlanetary File System), jaringan peer-to-peer yang sah, untuk menyimpan payload dan sebagai fallback command-and-control (C2) server jika server C2 utama di 85[.]137[.]53[.]71 tidak tersedia. Selain IPFS, malware juga mempertahankan komunikasi melalui BitTorrent bootstrap nodes termasuk router.bittorrent.com, router.utorrent.com, dan dht.transmissionbt.com, memberikan jalur fallback yang beragam jika satu channel diblokir di tingkat jaringan.
Kemampuan self-propagation yang dimiliki malware ini sangat berbahaya untuk lingkungan pengembang. Jika malware menemukan token autentikasi yang valid untuk npm, PyPI, atau Cargo di mesin yang terkompromi, ia akan mencoba mempublikasikan dirinya sendiri ke package yang dikelola oleh korban di registri tersebut. Satu akun pengembang yang terkompromi menjadi vektor distribusi baru. Peneliti juga menemukan alamat kontrak Ethereum yang tertanam dalam kode, meskipun penggunaannya secara operasional belum sepenuhnya dipahami.
Malware ini melakukan pemeriksaan terhadap lingkungan eksekusi. Ia memeriksa apakah berjalan di dalam virtual machine, apakah terdapat endpoint detection tool, dan apakah locale sistem diatur ke bahasa Rusia. Jika salah satu kondisi tersebut terpenuhi, malware akan mengakhiri eksekusinya. Referensi string “Miasma” yang ditemukan di dalam kode diduga merupakan misdirected attribution yang disengaja, dirancang untuk mengalihkan analis ke jalur penelusuran yang salah.
Dampak Terhadap Indonesia
Indonesia memiliki ekosistem pengembang software yang terus bertumbuh, dengan banyak startup dan perusahaan teknologi yang mengadopsi arsitektur microservices berbasis event-driven API. AsyncAPI digunakan secara luas dalam implementasi Apache Kafka, RabbitMQ, dan broker pesan lainnya yang menjadi fondasi infrastruktur digital Indonesia. Serangan supply chain terhadap package npm ini memiliki dampak langsung terhadap ribuan proyek pengembangan di Indonesia yang mungkin bergantung pada package AsyncAPI.
PDP Law (UU Pelindungan Data Pribadi) mensyaratkan organisasi untuk menjaga keamanan sistem informasi yang memproses data pribadi. Jika sebuah organisasi di Indonesia menggunakan package AsyncAPI yang terkompromi dan menghasilkan kompromi terhadap data pengguna, mereka berpotensi melanggar ketentuan PDP Law. SKKNI Siber juga menekankan pentingnya software supply chain security sebagai bagian dari manajemen risiko siber. BSSN perlu mengeluarkan advisory untuk organisasi di Indonesia agar segera memeriksa apakah mereka menggunakan versi package AsyncAPI yang terdampak.
Selain itu, kemampuan self-propagation malware ini yang menargetkan token npm, PyPI, dan Cargo sangat relevan mengingat banyak pengembang Indonesia yang aktif mempublikasikan package di registri-registri tersebut. Satu akun kompromi dapat menyebar ke seluruh ekosistem package yang dikelola oleh pengembang tersebut.
Rekomendasi Mitigasi
Langkah pertama yang mendesak adalah mencari tahu apakah organisasi atau proyek Anda menggunakan versi package AsyncAPI yang terdampak (@asyncapi/generator 3.3.1, @asyncapi/generator-components 0.7.1, @asyncapi/generator-helpers 1.1.1, @asyncapi/specs 6.11.2/6.11.2-alpha.1). Jika ya, segera cabut semua token autentikasi yang terkait dengan npm, PyPI, dan Cargo di mesin yang mungkin menjalankan package tersebut. Lakukan rotasi semua rahasia (secrets) dan audit commit serta rilis package terkini di registri Anda untuk mencari perubahan yang tidak sah.
Kedua, implementasikan scanning terhadap semua dependency dalam proyek menggunakan tools seperti npm audit, Snyk, atau Socket.dev untuk mendeteksi anomali pada package. Ketiga, monitor lalu lintas jaringan pada workstation pengembang untuk koneksi yang mencurigakan ke BitTorrent bootstrap nodes atau IPFS gateways, karena kedua kanal tersebut merupakan komunikasi utama malware dan bukan pola lalu lintas yang wajar di lingkungan pengembangan. Keempat, pertimbangkan untuk mengimplementasikan package pinning dan lockfile untuk memastikan hanya versi package yang terverifikasi yang digunakan dalam build.
Analisa Retasan
Serangan supply chain AsyncAPI npm menandai eskalasi signifikan dalam kompleksitas serangan terhadap ekosistem package manager. Dengan 91.973 baris kode, payload ini jauh melampaui skala serangan supply chain tipikal yang biasanya hanya berisi credential stealer sederhana. Penggunaan IPFS sebagai fallback C2 dan BitTorrent bootstrap nodes sebagai jalur komunikasi cadangan menunjukkan perencanaan infrastruktur yang sangat matang. Pola ini mengingatkan pada serangan Supply Chain XZ Utils (CVE-2024-3094) yang terjadi pada Maret 2024, di mana backdoor disuntikkan ke dalam utilitas kritis Linux selama bertahun-tahun sebelum terdeteksi. Namun, AsyncAPI attack berbeda dalam skala — langsung menargetkan package dengan download masif dan menggunakan teknik inlined code injection yang tidak bergantung pada post-install scripts.
Kemampuan self-propagation yang menargetkan token npm, PyPI, dan Cargo secara simultan merupakan fitur yang sangat berbahaya dan relatif baru dalam serangan supply chain. Sebagian besar serangan supply chain sebelumnya, seperti ua-parser-js (2021) atau colors.js (2022), bersifat satu arah — penyerang menyuntikkan kode, korban terinfeksi. AsyncAPI attack menciptakan loop eksploitasi di mana satu korban menjadi distributor baru, secara eksponensial memperluas blast radius. Teknik ini mirip dengan konsep worm namun diterapkan dalam konteks supply chain software. Mekanisme anti-analysis yang memeriksa locale bahasa Rusia dan keberadaan VM/EDR juga menunjukkan maturity yang tinggi dari threat actor di balik serangan ini.
Dari perspektif Indonesia, serangan ini menjadi pengingat kritis bahwa keamanan software supply chain bukan sekadar tanggung jawab vendor, melainkan seluruh rantai nilai pengembangan. Banyak organisasi di Indonesia yang mengandalkan open-source package tanpa proses verifikasi yang memadai. Dengan adanya PDP Law yang mensyaratkan perlindungan data pribadi, kompromi supply chain yang mengarah pada pencurian data dapat memiliki konsekuensi hukum yang serius. Organisasi perlu mengimplementasikan Software Bill of Materials (SBOM) untuk setiap proyek, serta automated dependency scanning sebagai bagian dari CI/CD pipeline mereka. SOCSIRT nasional dan BSSN harus proaktif dalam mengedukasi komunitas pengembang Indonesia tentang risiko supply chain attack ini.
🔗 Sumber: SecurityAffairs — AsyncAPI npm Supply Chain Attack
