Di Balik Serangan Supply Chain Mini Shai‑Hulud pada Ekosistem npm
Pada 19 Mei 2026, akun npm milik developer bernama atool dibajak dan digunakan untuk merilis 637 versi paket berbahaya di 317 library hanya dalam sekitar 22 menit. Malware dalam paket berjalan saat instalasi dependency, memindai sistem untuk mencuri token GitHub, kredensial cloud, kunci SSH, hingga data dari passwor...
How are hackers carrying out the ongoing “Mini Shai‑Hulud” supply‑chain attacks on open‑source software packages, what happened in the recenThe Mini Shai‑Hulud campaign spread by compromising trusted open‑source packages and harvesting developer credentials.
AI Perintah
Create a landscape editorial hero image for this Studio Global article: How are hackers carrying out the ongoing “Mini Shai‑Hulud” supply‑chain attacks on open‑source software packages, what happened in the recen. Article summary: Hackers are using compromised maintainer accounts and automated package-publishing to turn trusted open-source packages into credential-stealing malware delivery channels. The latest Mini Shai-Hulud wave hijacked an npm . Topic tags: general, general web. Reference image context from search candidates: Reference image 1: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply chain attack dubbed “Mini Shai-Hulud” was executed" source context "Scraper Spider" Reference image 2: visual subject "HN Mini Shai-Hulud Strikes Again: 314 npm Packages Compromised. On May 19, 2026, a sophisticated supply cha
openai.com
Ekosistem paket open‑source seperti npm (Node Package Manager) dan PyPI menjadi fondasi banyak aplikasi modern. Developer biasanya menginstal library yang dibuat dan dikelola orang lain. Sistem ini efisien, tetapi juga bergantung pada kepercayaan—dan celah itulah yang dimanfaatkan oleh kampanye serangan bernama Mini Shai‑Hulud.
Pada Mei 2026, peneliti keamanan menemukan bahwa penyerang berhasil menyusup ke akun maintainer paket populer dan menggunakan akses tersebut untuk menyebarkan ratusan versi paket yang telah disusupi malware. Serangan ini menunjukkan bagaimana serangan software supply chain dapat menyebar cepat melalui dependency, pipeline CI/CD, dan lingkungan cloud.
Alih‑alih membuat paket berbahaya baru yang mudah dicurigai, penyerang menargetkan akun maintainer yang memiliki izin publikasi paket. Setelah mendapatkan akses, mereka merilis versi baru dari paket yang sebenarnya sah—tetapi sudah dimodifikasi dengan kode berbahaya.
Karena banyak proyek secara otomatis memperbarui dependency dalam rentang versi tertentu, versi paket yang sudah "diracuni" ini bisa langsung terpasang ketika developer menjalankan perintah seperti
npm install
. Dengan cara ini, korban bisa terinfeksi tanpa pernah berinteraksi langsung dengan penyerang.
Insiden 19 Mei: lebih dari 630 versi paket dirilis dalam 22 menit
Pada 19 Mei 2026, peneliti keamanan melaporkan bahwa akun npm bernama atool telah dikompromikan. Dalam sekitar 22 menit, penyerang secara otomatis menerbitkan 637 versi berbahaya di 317 paket.
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Apa jawaban singkat untuk "Di Balik Serangan Supply Chain Mini Shai‑Hulud pada Ekosistem npm"?
Pada 19 Mei 2026, akun npm milik developer bernama atool dibajak dan digunakan untuk merilis 637 versi paket berbahaya di 317 library hanya dalam sekitar 22 menit.
Apa poin penting yang harus divalidasi terlebih dahulu?
Pada 19 Mei 2026, akun npm milik developer bernama atool dibajak dan digunakan untuk merilis 637 versi paket berbahaya di 317 library hanya dalam sekitar 22 menit. Malware dalam paket berjalan saat instalasi dependency, memindai sistem untuk mencuri token GitHub, kredensial cloud, kunci SSH, hingga data dari password manager.
Apa yang harus saya lakukan selanjutnya dalam latihan?
Gelombang serangan sebelumnya melalui library TanStack bahkan mencapai perangkat dua karyawan OpenAI, meski perusahaan menyatakan tidak ada data pengguna atau sistem produksi yang terdampak.
Beberapa library yang terdampak termasuk paket populer seperti:
size-sensor
echarts-for-react
timeago.js
berbagai paket @antv/* dari ekosistem visualisasi data AntV milik Alibaba
Banyak paket ini digunakan sebagai dependency dalam framework frontend dan alat visualisasi data yang populer. Artinya, satu kompromi dapat menyebar ke banyak proyek turunan yang mengandalkannya.
Microsoft juga mencatat bahwa kompromi pada ekosistem @antv dapat memicu dampak berantai karena banyak proyek lain bergantung pada library tersebut. Paket seperti echarts-for-react, misalnya, memiliki lebih dari satu juta unduhan per minggu, memperbesar potensi jangkauan serangan.
Malware aktif saat proses instalasi
Versi paket yang disusupi berisi payload JavaScript yang di‑obfuscate agar sulit dianalisis. Malware ini dirancang untuk berjalan otomatis saat proses instalasi dependency.
Penyerang memanfaatkan skrip instalasi seperti hook preinstall, yang memang dieksekusi oleh npm ketika paket dipasang. Akibatnya, kode berbahaya dapat berjalan segera setelah developer atau sistem CI menjalankan instalasi dependency.
Peneliti juga menemukan teknik distribusi kedua menggunakan optionalDependencies yang menunjuk ke commit GitHub tertentu. npm memungkinkan paket mengambil konten berdasarkan hash commit (SHA). Penyerang memanfaatkan mekanisme ini untuk mengambil payload dari fork repository yang memiliki riwayat Git yang sama dengan proyek asli—bahkan tanpa akses tulis ke repo utama.
Target utama: mencuri kredensial developer
Tujuan utama malware adalah mencuri kredensial yang dapat membuka akses ke sistem lain.
Setelah dijalankan, payload memindai lingkungan sistem untuk mencari berbagai rahasia digital, termasuk:
token publikasi npm
GitHub personal access tokens
kredensial AWS, Azure, dan Google Cloud
string koneksi database
token Slack dan API key
kunci SSH dan file autentikasi Docker
token Kubernetes dan HashiCorp Vault
Malware juga mencoba mengambil data dari penyimpanan password manager lokal seperti 1Password, Bitwarden, pass, dan gopass.
Untuk mengirim data yang dicuri keluar dari sistem korban, malware menggunakan dua metode:
menyimpan data dalam objek Git di repository GitHub publik
mengirim permintaan HTTPS terenkripsi yang disamarkan sebagai lalu lintas telemetri
Pendekatan ini membantu penyerang menyembunyikan aktivitas eksfiltrasi di antara lalu lintas jaringan yang tampak normal.
Perilaku seperti worm: bisa menyebar sendiri
Peneliti keamanan menggambarkan Mini Shai‑Hulud sebagai malware yang dapat menyebar sendiri.
Setelah mencuri kredensial, malware mencoba menggunakan akses tersebut untuk memperluas serangan. Misalnya, di lingkungan CI/CD ia dapat mencari token tambahan atau memanipulasi workflow otomatis agar penyerang bisa menerbitkan versi paket berbahaya baru.
Dengan strategi ini, komputer developer atau pipeline yang sudah terinfeksi bisa berubah menjadi titik penyebaran baru dalam rantai supply‑chain software.
Gelombang sebelumnya: kompromi paket TanStack
Sebelum insiden 19 Mei, gelombang lain dari kampanye Mini Shai‑Hulud muncul pada awal Mei 2026 dengan menargetkan paket dalam ekosistem TanStack, kumpulan library frontend yang sangat populer.
Versi paket yang disusupi mengandung kode berbahaya yang dirancang untuk mencuri rahasia CI/CD dan kredensial developer sehingga serangan dapat menyebar ke repository lain.
Analisis keamanan menunjukkan malware disembunyikan dalam bundel JavaScript yang di‑obfuscate dan mampu memprofilkan lingkungan runtime sebelum memulai pencurian kredensial.
Dampak nyata: perangkat karyawan OpenAI ikut terdampak
Serangan melalui paket TanStack tersebut bahkan mencapai lingkungan perusahaan.
OpenAI mengonfirmasi bahwa dua perangkat karyawan terkena dampak melalui rantai dependency yang terinfeksi. Aktivitas yang terdeteksi konsisten dengan perilaku malware yang berfokus pada pencurian kredensial dan akses repository internal.
Namun perusahaan menyatakan bahwa:
tidak ada data pengguna yang diakses
sistem produksi tidak terdampak
kekayaan intelektual dan perangkat lunak tidak dimodifikasi
Sebagai langkah pencegahan, OpenAI mengisolasi sistem yang terpengaruh, mencabut sesi aktif, merotasi kredensial, memperketat workflow deployment, dan mulai mengganti sertifikat penandatanganan kode.
Mengapa serangan ini penting
Mini Shai‑Hulud menunjukkan tren baru dalam keamanan siber: penyerang semakin menargetkan ekosistem developer daripada pengguna akhir secara langsung.
Beberapa faktor yang membuat kampanye ini menonjol:
akun maintainer tepercaya berhasil dibajak
ratusan versi paket berbahaya dirilis secara otomatis dalam hitungan menit
malware difokuskan pada pencurian kredensial untuk memperluas serangan
Karena sebagian besar aplikasi modern bergantung pada paket open‑source, kompromi singkat pada satu library populer saja dapat berdampak pada ribuan proyek di seluruh dunia.
Kasus ini menjadi pengingat bahwa keamanan perangkat lunak tidak hanya bergantung pada aplikasi akhir, tetapi juga pada seluruh rantai alat, dependensi, maintainer, dan pipeline otomatis yang digunakan untuk membangunnya.
openai.comOur response to the TanStack npm supply chain attack | OpenAI
Comments
0 comments