Hacker Menyusup ke Paket NPM Jscrambler dengan Malware Pencuri Info

Hacker Menyusup ke Paket NPM Jscrambler dengan Malware Pencuri Info

By Reggi, 15 Jul 2026

Hacker Menyusup ke Paket NPM Jscrambler dengan Malware Pencuri Info

Baru-baru ini, jagat pengembangan dikejutkan oleh insiden keamanan serius. Perusahaan keamanan web sisi klien Jscrambler mengumumkan bahwa Hackers Backdoor JScrambler NPM Package with Infostealer Malware. Pelaku ancaman berhasil menerbitkan versi berbahaya dari paket npm mereka, yang sayangnya telah diunduh hampir 1.500 kali sebelum terdeteksi.

Insiden ini terjadi pada paket jscrambler, yang merupakan bagian dari produk Code Integrity mereka. Versi-versi yang terkena dampak meliputi 8.14, 8.16, 8.17, dan 8.20. Malware pencuri informasi tersebut bekerja saat ‘preinstall’ hook, sebuah mekanisme yang sangat berbahaya karena bisa mengeksekusi kode jahat bahkan sebelum paket terinstal sepenuhnya.

Jscrambler bertindak cepat. Meskipun paket berbahaya itu bertahan selama dua jam, pengembang segera mendeprekasinya dan merilis versi aman, yaitu 8.22. Dalam waktu singkat itu, data dari Node Package Manager (npm) menunjukkan bahwa paket berbahaya ini diunduh sebanyak 1.479 kali. Selain paket utama, ada empat paket Jscrambler lain yang bergantung padanya; vendor juga mendeprekasi dan menggantinya dengan versi baru. Jscrambler menegaskan bahwa insiden ini hanya terbatas pada paket npm tersebut dan tidak memengaruhi produk Jscrambler lainnya, termasuk Webpage Integrity.

Apa itu Jscrambler dan Mengapa Ini Penting?

Jscrambler adalah platform komersial yang berfokus pada perlindungan aplikasi JavaScript web dan seluler dari rekayasa balik serta pengubahan. Dengan sekitar 17.000 unduhan mingguan, layanan ini memungkinkan pengembang mengunggah kode JavaScript mereka untuk dilindungi dari modifikasi. Ini sangat penting untuk mencegah injeksi kode berbahaya secara real-time.

Kompromi ini pertama kali dideteksi dan dianalisis oleh perusahaan keamanan aplikasi Socket. Penelitian mereka mengungkap bahwa malware ini adalah infostealer yang dirancang untuk menargetkan berbagai jenis data sensitif.

Data Apa Saja yang Diincar Infostealer?

Malware ini memiliki cakupan target yang luas dan mengkhawatirkan bagi para pengembang:

  • Kode sumber dan file proyek.
  • Kredensial pengembang dan rahasia, seperti token Git, SSH, variabel lingkungan, dan token CI/CD.
  • Kredensial cloud dan pengelola rahasia, termasuk AWS, Azure, GCP, dan Kubernetes.
  • Alat coding AI dan konfigurasi MCP, seperti Claude, Cursor, Windsurf, VS Code, dan Zed.
  • Dompet mata uang kripto dan frasa benih (seed phrases) dari MetaMask, Phantom, Coinbase, Exodus, dan Trust Wallet.
  • Data browser, seperti cookies dan kredensial yang tersimpan.
  • Aplikasi pesan dan kolaborasi, termasuk Slack, Discord, dan Telegram.

Untuk mempersulit analisis, malware ini menggunakan teknik obfuscation yang kuat pada setiap string melalui algoritma enkripsi ChaCha20-Poly1305. Ini menunjukkan tingkat kecanggihan yang patut diwaspadai.

Penyebab dan Rekomendasi Keamanan

Menurut Jscrambler, kompromi ini terjadi karena kredensial penerbitan npm mereka telah disusupi. Setelah insiden tersebut, Jscrambler segera mencabut kredensial yang disusupi dan menerapkan kontrol keamanan tambahan pada pipeline penerbitan mereka.

Bagi pengembang yang mungkin telah menggunakan paket npm berbahaya ini, Jscrambler memberikan rekomendasi tegas:

  1. Anggap lingkungan Anda telah disusupi.
  2. Rotasi semua rahasia (kata sandi, token, kunci API).
  3. Pulihkan dari backup yang aman dan terverifikasi.
  4. Pastikan Anda menggunakan versi terbaru dari produk Jscrambler.

Insiden ini kembali mengingatkan kita akan pentingnya keamanan rantai pasok (supply chain security) dalam ekosistem pengembangan modern. Selalu waspada terhadap setiap dependensi yang Anda gunakan.

Referensi

https://www.bleepingcomputer.com/news/security/hackers-backdoor-jscrambler-npm-package-with-infostealer-malware/


🔥 Sedang Ramai Dibaca