Sebuah file yang tampak seperti screenshot bisa menyentuh lapisan kepercayaan yang sangat sensitif: penandatanganan kode, atau code signing. Dalam kasus DigiCert, targetnya bukan sekadar satu komputer dukungan, melainkan proses yang membuat perangkat lunak terlihat sah di mata sistem operasi dan alat keamanan.

Menurut deskripsi insiden yang terdokumentasi di Mozilla, pada 2 April 2026 seorang pelaku menghubungi tim dukungan DigiCert lewat kanal chat pelanggan dan mengirim file ZIP yang disamarkan sebagai screenshot. Di dalamnya terdapat file .scr berbahaya, format yang di Windows berkaitan dengan screensaver ^[12]. Dari sistem dukungan yang kemudian dikompromikan, pelaku memperoleh kode inisialisasi untuk sejumlah terbatas sertifikat code signing; sebagian sertifikat itu dipakai untuk menandatangani malware ^[1].

Apa yang sebenarnya terjadi

Serangan ini dimulai sebagai social engineering yang diarahkan ke kanal dukungan DigiCert. Help Net Security menggambarkan pola yang sama: file ZIP yang dikirim sebagai seolah-olah screenshot pelanggan ternyata berisi file Windows screensaver dengan fungsi berbahaya ^[2].

SecurityWeek melaporkan bahwa malware menginfeksi dua endpoint. Satu endpoint terdeteksi pada 3 April, sementara satu lagi baru terdeteksi pada 14 April ^[10]. Dari sistem yang sudah terinfeksi, pelaku disebut berpindah ke portal dukungan internal DigiCert ^[10].

Di portal itu, analis dukungan yang sudah terautentikasi memiliki fungsi terbatas untuk masuk ke akun pelanggan. Fungsi tersebut memberi akses ke beberapa fitur tertentu, termasuk kode inisialisasi untuk sertifikat yang masih tertunda ^[10]. BleepingComputer juga menggambarkan cakupan insiden ini sebagai terbatas, tetapi menyebut bahwa akses tersebut membuka kode inisialisasi untuk sertifikat EV code signing yang sudah disetujui namun belum dikirimkan ^[5].

Mengapa EV code signing sangat menarik bagi penyerang

Code signing adalah bagian dari rantai kepercayaan distribusi perangkat lunak. Dengan tanda tangan digital, sistem dan pengguna dapat menilai asal-usul serta integritas sebuah program. DigiCert, sebagai Certificate Authority atau otoritas penerbit sertifikat, memiliki peran penting dalam komunikasi internet dan distribusi perangkat lunak; sertifikat code signing-nya digunakan oleh pengembang software ^[11].

EV adalah singkatan dari Extended Validation. Dalam konteks code signing, label EV membawa sinyal kepercayaan yang lebih kuat dibanding tanda tangan biasa. Justru sinyal inilah yang dicari penyerang: bukan karena malware menjadi aman, tetapi karena malware yang ditandatangani bisa tampak lebih sah.

ThreatNoir melaporkan bahwa sebagian sertifikat code signing yang diperoleh dalam insiden ini digunakan untuk menandatangani malware ^[1]. CyberInsider juga menggambarkan insiden ketika sistem dukungan internal dan data penerbitan sertifikat disalahgunakan untuk memperoleh sertifikat EV code signing yang valid; sebagian sertifikat kemudian dipakai untuk menandatangani malware ^[11].

Risikonya jelas: malware bertanda tangan digital bisa melewati pemeriksaan awal dengan lebih mudah atau setidaknya menimbulkan kebingungan. Vectra menjelaskan pola ini secara umum: pelaku ancaman dapat memakai sertifikat EV untuk menandatangani file berbahaya dan memanfaatkan tingkat kepercayaan yang biasanya melekat pada aplikasi bertanda tangan EV; organisasi yang hanya mengandalkan kepercayaan berbasis tanda tangan tetap rentan ^[15].

Yang tidak terbukti dari laporan yang tersedia

Penting untuk membatasi kesimpulan. Sumber yang ada menggambarkan kompromi pada endpoint dukungan, fungsi portal dukungan internal, dan akses ke kode inisialisasi ^{[1][5][10][12]}. Sumber-sumber itu tidak membuktikan adanya kompromi terhadap kunci root DigiCert atau kunci CA.

Perbedaannya besar. Kunci root dan kunci CA adalah jangkar kepercayaan yang jauh lebih mendasar dalam hierarki sertifikat. Jadi, insiden ini tidak tepat dibaca sebagai pengambilalihan penuh terhadap otoritas sertifikat. Berdasarkan laporan yang tersedia, kasus ini lebih tepat dipahami sebagai penyalahgunaan proses dukungan dan proses penerbitan di sekitar sertifikat code signing ^[1][5][10].

Namun, itu tidak membuatnya ringan. Kepercayaan terhadap code signing adalah bagian penting dari pertahanan perangkat lunak modern. Jika sinyal kepercayaan itu dipakai untuk menyamarkan malware, dampaknya tetap serius.

Seberapa besar dampaknya?

Angka publik tidak sepenuhnya seragam karena masing-masing sumber menyoroti kategori yang berbeda: sertifikat yang diperoleh, dicuri, disalahgunakan, atau dicabut.

• ThreatNoir menyebut jumlah terbatas sertifikat code signing, dengan sebagian digunakan untuk menandatangani malware ^[1].
• Risky Business melaporkan 27 sertifikat code signing yang dicuri dan kemudian digunakan untuk menandatangani malware ^[8].
• ThreatLocker menyebut total 60 sertifikat code signing yang dicabut ^[3].

Karena itu, saat menilai skala insiden, penting melihat apa yang sebenarnya dihitung oleh tiap sumber. Meski cakupannya dilaporkan terbatas, insiden ini tetap relevan secara keamanan. Dalam praktik malware, sejumlah kecil sertifikat yang tampak valid saja sudah bisa cukup untuk mengeksploitasi rasa percaya terhadap file bertanda tangan ^[1][15].

Respons DigiCert: pencabutan dan pembatalan pesanan tertunda

Menurut BleepingComputer, DigiCert mencabut sertifikat yang teridentifikasi dalam waktu 24 jam setelah ditemukan dan menetapkan tanggal pencabutan kembali ke tanggal penerbitan sertifikat tersebut ^[5]. Pesanan yang masih tertunda dalam periode terdampak juga dibatalkan sebagai langkah pencegahan ^[5]. ThreatNoir melaporkan hal serupa: sertifikat terdampak dicabut dalam 24 jam, dan pesanan tertunda dalam jendela waktu terkait dibatalkan ^[1].

Pencabutan sertifikat membantu membatasi penyalahgunaan berikutnya. Tetapi bagi tim keamanan, pekerjaan tidak selesai di sana. File bertanda tangan tetap perlu dinilai dari data sertifikat, hash, perilaku program, koneksi jaringan, serta konteks intelijen ancaman. Alasannya sederhana: tanda tangan EV bisa saja dipakai penyerang sebagai kedok kepercayaan ^[15].

Efek samping: peringatan asli, false positive, dan kebingungan Defender

Di sekitar insiden ini, situasi sempat makin membingungkan karena Microsoft Defender. BleepingComputer melaporkan bahwa Microsoft Defender keliru menandai sertifikat DigiCert sebagai Trojan:Win32/Cerdigent.A!dha ^[5]. Daily.dev merangkum bahwa Defender menandai sertifikat root DigiCert yang sah setelah pembaruan signature pada 30 April; Microsoft kemudian memperbaikinya lewat Security Intelligence update 1.449.430.0 dan memulihkan sertifikat yang sempat terhapus ^[7].

Bagi organisasi, ini menjadi masalah respons insiden yang praktis. Tim keamanan harus memilah tiga hal sekaligus: penyalahgunaan sertifikat yang benar-benar terjadi, kemungkinan malware yang ditandatangani dengan sertifikat valid, dan alarm palsu terhadap sertifikat DigiCert yang sah ^[5][7].

Pelajaran untuk tim keamanan

Pelajaran utamanya bukan bahwa code signing tidak berguna. Code signing tetap penting. Namun, tanda tangan digital tidak boleh menjadi satu-satunya dasar kepercayaan.

Beberapa langkah praktis yang relevan:

• Periksa tanda tangan, jangan langsung percaya. Tanda tangan valid, termasuk berbasis EV, tidak otomatis membuat file aman. Pelaku ancaman dapat memakai sertifikat EV untuk menandatangani file berbahaya dan memanfaatkan kepercayaan yang melekat pada aplikasi bertanda tangan EV ^[15].
• Lihat detail sertifikat. Issuer, nomor seri, rantai sertifikat, timestamp, dan status pencabutan perlu diperiksa ketika binary bertanda tangan terlihat mencurigakan. Dalam kasus DigiCert, pencabutan dan penetapan tanggal pencabutan ke tanggal penerbitan menjadi bagian penting dari mitigasi ^[5].
• Beratkan analisis pada perilaku file. Hash, proses yang dibuat, koneksi jaringan, mekanisme persistensi, dan hasil sandbox harus dibaca bersama informasi tanda tangan. Malware bertanda tangan sengaja memanfaatkan kepercayaan awal yang muncul dari sertifikat ^[15].
• Perlakukan portal dukungan dan admin sebagai zona berisiko tinggi. Insiden ini menunjukkan bahwa fungsi dukungan yang tampak terbatas bisa menjadi sensitif jika dapat membuka akses ke akun pelanggan atau kode inisialisasi sertifikat ^[10].
• Tangani false positive secara terkendali. Laporan tentang Microsoft Defender menunjukkan bahwa peringatan terkait sertifikat tidak selalu berarti infeksi nyata. Sertifikat root DigiCert yang sah sempat ditandai keliru dan kemudian dipulihkan lewat pembaruan Microsoft ^[7].

Kesimpulan

Insiden DigiCert penting karena menunjukkan bagaimana penyerang dapat menyerang bukan hanya sistem, tetapi juga rasa percaya terhadap perangkat lunak. Berdasarkan laporan yang tersedia, kasus ini tampak terbatas pada kompromi sistem dukungan, akses ke kode inisialisasi, dan penyalahgunaan sebagian sertifikat code signing; bukan kompromi terhadap kunci root atau kunci CA DigiCert ^{[1][5][10][12]}.

Tetap saja, dampaknya nyata. Dalam pertahanan malware modern, tanda tangan digital adalah sinyal yang berguna, tetapi tidak boleh menjadi kata akhir.