Peretas Menyisipkan Malware ke dalam Unduhan Perangkat Lunak Mistral AI

Singkatnya

• Microsoft mengatakan penyerang membobol unduhan perangkat lunak Mistral AI yang digunakan oleh pengembang.
• Malware tersebut diduga mencuri kredensial dan dapat merusak beberapa sistem Linux.
• Mistral mengatakan tidak memiliki bukti bahwa infrastruktur mereka telah disusupi.

Intelijen Ancaman Microsoft mengatakan hari Senin bahwa penyerang menyisipkan kode berbahaya ke dalam paket perangkat lunak Mistral AI yang didistribusikan melalui PyPI, sebuah platform populer yang digunakan pengembang untuk mengunduh alat perangkat lunak Python. Dalam sebuah posting di X, Microsoft mengatakan kode berbahaya tersebut secara otomatis berjalan saat pengembang menggunakan perangkat lunak di sistem Linux. Kode tersebut mengunduh file berbahaya kedua bernama transformers.pyz dari server jarak jauh dan menjalankannya di latar belakang. “Nama file transformers.pyz tampaknya dipilih secara sengaja untuk meniru perpustakaan Transformers dari Hugging Face yang banyak digunakan dan menyatu ke dalam lingkungan ML/dev,” tulis Microsoft.

Perusahaan mengatakan malware tersebut terutama berfungsi sebagai pencuri kredensial yang mampu mengumpulkan informasi login pengembang dan token akses. Microsoft juga mengatakan malware tersebut menghindari sistem berbahasa Rusia dan menyertakan kode yang dapat secara acak menghapus file di beberapa sistem yang tampaknya berada di Israel atau Iran. Laporan mengaitkan serangan terbaru ini dengan kampanye malware “Shai-Hulud” yang lebih luas yang dimulai pada bulan September dan menargetkan rantai pasokan perangkat lunak dengan menginfeksi paket pengembang terpercaya dan mencuri kredensial dari sistem yang telah disusupi.  “Shai-Hulud, yang merupakan worm Git yang menyeramkan yang semua orang bicarakan, telah dirilis sebagai sumber terbuka,” tulis perusahaan keamanan siber VX Underground di X. “Apa artinya ini? TeamPCP, atau orang lain, telah merilis worm yang sepenuhnya dilengkapi senjata untuk Anda.”

Microsoft menyarankan organisasi untuk mengisolasi sistem Linux yang terkena dampak, memblokir alamat internet terkait, mencari tanda-tanda infeksi, dan mengganti kredensial yang mungkin terekspos. Pada hari Selasa, Mistral mengatakan di situs web mereka bahwa mereka terkena serangan rantai pasokan yang terkait dengan insiden keamanan TanStack yang lebih luas. Perusahaan mengatakan bahwa worm otomatis yang terkait dengan serangan tersebut menyebabkan versi paket NPM dan PyPI yang disusupi dipublikasikan. “Investigasi saat ini menunjukkan bahwa perangkat pengembang yang terkena dampak terlibat,” tulis perusahaan. “Kami tidak memiliki indikasi bahwa infrastruktur Mistral telah disusupi.” Node Package Manager atau NPM adalah salah satu platform unduhan perangkat lunak terbesar di dunia untuk pengembang JavaScript. Platform ini semakin menjadi target dalam serangan siber terkait crypto karena banyak aplikasi blockchain, dompet, dan platform perdagangan bergantung pada perangkat lunak yang didistribusikan melalui layanan ini. Pada bulan September, CTO Ledger Charles Guillemet memperingatkan bahwa peretas telah membobol paket NPM yang banyak digunakan dalam serangan yang dapat mengarahkan ulang transaksi crypto dan mencuri dana. “Paket yang terkena dampak telah diunduh lebih dari 1 miliar kali, yang berarti seluruh ekosistem JavaScript mungkin berisiko,” tulis Guillemet di X saat itu. Serangan terbaru lainnya menggunakan paket NPM beracun yang terkait dengan bot perdagangan crypto palsu dan alat blockchain untuk menyebarkan malware melalui kontrak pintar Ethereum.