Google milik lembaga keamanan siber Mandiant mengonfirmasi bahwa organisasi peretas Korea Utara yang diduga bertanggung jawab atas insiden serangan rantai pasokan axios pada Selasa pekan ini. Pelaku menyusup ke akun pengembang yang mengelola perangkat lunak sumber terbuka axios, lalu dalam jendela sekitar tiga jam pada Selasa pagi, mendorong pembaruan berbahaya kepada semua organisasi yang mengunduh perangkat lunak tersebut. Tujuannya adalah mencuri aset kripto perusahaan untuk mendanai program senjata nuklir dan rudal Korea Utara.

Rincian pelaksanaan serangan: serangan rantai pasokan yang presisi dalam tiga jam

Tindakan para peretas menunjukkan karakter efisiensi tinggi dari serangan rantai pasokan perangkat lunak. Para penyerang mula-mula memperoleh kendali atas akun pengembang perangkat lunak sumber terbuka axios, lalu segera menggunakan identitas yang sah untuk menyamarkan versi yang berisi kode berbahaya sebagai dorongan pembaruan resmi. Dalam jendela tiga jam itu, sistem otomatis apa pun dari suatu organisasi saat melakukan pembaruan rutin akan tanpa sadar menerapkan versi yang memiliki backdoor tersebut.

Ben Read, kepala strategi ancaman intelijen dari perusahaan Wiz milik Google, mengatakan: “Korea Utara tidak khawatir dengan reputasi mereka atau dikenali pada akhirnya, jadi meskipun tindakan seperti ini sangat menarik perhatian, mereka tetap bersedia membayar biaya seperti itu.”

Peneliti keamanan Huntress, John Hammond, juga mengatakan bahwa momen tersebut “tepat sekali”, mengarah langsung bahwa banyak organisasi saat ini menggunakan agen AI untuk pengembangan perangkat lunak, “tanpa peninjauan atau pembatasan apa pun”, sehingga celah rantai pasokan lebih mudah dimanfaatkan secara sistematis.

Temuan penyelidikan: skala korban dan arah serangan masa depan

Saat ini, penyelidikan mengungkapkan ancaman berdimensi ganda:

Perangkat yang terdampak: Huntress telah mengidentifikasi sekitar 135 perangkat yang disusupi, berasal dari sekitar 12 perusahaan, yang diperkirakan hanya sebagian kecil dari skala korban sebenarnya

Waktu penilaian: CTO Mandiant, Charles Carmakal, memperingatkan bahwa penilaian lengkap terhadap dampak serangan ini mungkin memerlukan waktu berbulan-bulan

Arah serangan berikutnya: Mandiant memperkirakan para penyerang akan memanfaatkan kredensial yang dicuri dan hak akses sistem untuk menargetkan lebih lanjut aset kripto perusahaan guna melakukan pencurian

Kerapuhan rantai pasokan: Hammond menyebutkan “terlalu banyak orang yang tidak lagi memperhatikan komponen perangkat lunak yang mereka gunakan, ini menciptakan celah besar bagi seluruh rantai pasokan”

Latar belakang sejarah: peningkatan sistematis pencurian digital Korea Utara

Serangan axios kali ini merupakan kasus terbaru dari infiltrasi sistematis rantai pasokan perangkat lunak oleh Pyongyang. Tiga tahun lalu, diduga agen Korea Utara menyusup ke pemasok perangkat lunak suara-video lain yang populer; tahun lalu, peretas Korea Utara mencuri mata uang kripto senilai 1,5 miliar dolar AS dalam satu serangan, menciptakan rekor sejarah untuk kasus peretasan kripto pada saat itu.

Laporan dari Perserikatan Bangsa-Bangsa dan beberapa lembaga swasta menunjukkan bahwa dalam beberapa tahun terakhir, peretas Korea Utara telah mencuri puluhan miliar dolar dari bank dan perusahaan mata uang kripto. Pada 2023, pejabat Gedung Putih mengungkapkan bahwa sekitar setengah dana untuk rencana rudal Korea Utara berasal dari pencurian digital semacam ini, sehingga ancaman keamanan ini memiliki implikasi strategis internasional yang langsung.

FAQ

axios itu apa, dan mengapa menjadi target serangan rantai pasokan ini?

axios adalah paket inti JavaScript npm yang banyak digunakan (versi yang diserang adalah 1.14.1), membantu pengembang menangani permintaan HTTP pada situs web, dan digunakan oleh ribuan perusahaan medis, keuangan, serta teknologi. Unduhan yang sangat tinggi membuatnya menjadi target bernilai tinggi untuk serangan rantai pasokan—dengan membobol akun pengembang, pelaku dapat mendorong kode berbahaya secara bersamaan kepada banyak organisasi hilir dalam beberapa jam.

Risiko spesifik apa yang ditimbulkan serangan ini bagi perusahaan kripto?

Penilaian Mandiant menyatakan bahwa pelaku akan menggunakan kredensial yang dicuri untuk melakukan penyusupan lebih lanjut ke perusahaan yang memegang aset kripto. Perusahaan kripto dan perusahaan teknologi yang menggunakan versi axios yang terinfeksi mungkin, tanpa disadari, telah memberikan kepada pelaku akses backdoor ke sistem internal, sehingga kunci privat dompet, kunci API, dan kredensial transaksi berisiko dicuri.

Bagaimana perusahaan harus menilai dan menanggapi serangan rantai pasokan axios ini?

Disarankan untuk segera menjalankan langkah-langkah berikut: memastikan apakah versi axios di sistem Anda adalah versi yang diserang; meninjau log pembaruan pada saat serangan terjadi (jendela tiga jam pada Selasa pagi); memindai apakah ada akses kredensial yang tidak wajar atau perilaku koneksi eksternal; dan menghubungi lembaga keamanan seperti Huntress dan Mandiant untuk penilaian profesional.

Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke Penafian.