Pencabutan sertifikat malah memicu likuidasi fisik? Worm pencuri data TanStack yang open source, menyembunyikan saklar mati irreversible

Menurut pemantauan Beating, kelompok hacker TeamPCP yang melakukan serangan penyusupan rantai pasokan npm telah merilis kode sumber lengkap dari worm yang terlibat, Mini Shai-Hulud, di GitHub dengan lisensi MIT. Petugas keamanan menemukan dari kode tersebut bahwa malware ini dilengkapi dengan “saklar mati” otomatis, yang akan langsung menghapus seluruh direktori utama komputer jika pengembang yang terinfeksi langsung mencabut kredensial GitHub atau layanan cloud yang dicuri tanpa membersihkan sisa file secara menyeluruh.

Para peneliti mengonfirmasi bahwa worm ini akan menjalankan proses penjaga di latar belakang macOS atau Linux, yang memeriksa setiap menit apakah kredensial yang dicuri masih berlaku. Begitu kredensial ditolak oleh server (menandakan bahwa korban telah melakukan rotasi kredensial), worm akan segera memanggil perintah dasar sistem shred, yang akan secara tidak dapat dikembalikan menghancurkan dan menimpa semua file yang dapat ditulis di direktori utama pengguna saat ini.

Ini secara langsung membalik proses respons keamanan konvensional: saat perusahaan mengalami kebocoran kredensial, reaksi pertama biasanya adalah segera membatalkan kunci, tetapi dalam serangan ini, langkah tersebut justru akan memicu penghancuran data lokal secara langsung. Saat ini, worm ini telah dikonfirmasi menginfeksi hampir 400 versi dari lebih dari 170 paket, termasuk TanStack, UiPath, dan Mistral AI. Setelah hacker mempublikasikan kode melalui akun bernama PedroTortoriello dan mengejek “pembantaian open source”, bahkan ada pihak ketiga yang mengajukan PR untuk menambahkan dukungan FreeBSD. Saat ini, Microsoft telah dengan cepat memblokir akun tersebut dan menghapus semua repositori serta cabang Fork di GitHub, tetapi kode sumber yang sudah bocor masih beredar di saluran lain.