Kode merusak kepercayaan. Ketika perusahaan memasang pembaruan, mereka yakin bahwa pembuatnya adalah orang yang mereka katakan. Mereka menganggap repositori di GitHub aman. Peretas mengetahui hal ini. Mereka berhenti menyerang perangkat lunak. Kini mereka memburu manusia yang membangunnya.
CrowdStrike bekerja sama dengan Google dan lembaga nonprofit Shadowserver untuk membongkar botnet Glassworm. Selama dua tahun para penjahat ini menargetkan rantai pasokan open source. Tujuannya? Mendorong malware dan mencuri kata sandi.
Musuh menyadari sesuatu yang sederhana. Serang pengembang dan Anda membahayakan segalanya. Sebuah stasiun kerja yang dibajak muncul ke luar. Ini menyentuh ribuan organisasi hilir. Ini menyentuh jutaan pengguna.
“Musuh tidak lagi hanya menargetkan produk, mereka juga menargetkan pengembang yang membangunnya”
Glassworm itu licin. Atau mungkin hanya gigih. Mereka menggunakan apa pun yang berhasil. Terkadang melakukan maliklan—membayar hasil penelusuran palsu untuk mengelabui unduhan. Di lain waktu, mereka menggunakan kembali kredensial yang dicuri dari pelanggaran sebelumnya. Hal ini memungkinkan mereka untuk masuk sebagai pengembang nyata dan memasukkan kode langsung ke proyek tepercaya.
Mereka bahkan menerbitkan ekstensi berbahaya di pasar pengembang. Perang multi-front. Dan mereka memenangkan beberapa pertempuran. Lebih dari 30 repositori GitHub diracuni. Kerusakan menyebar dengan cepat.
Penutupan itu terjadi dengan cepat. CrowdStrike memotong empat saluran perintah dan kontrol. Itu memutuskan hubungan ke komputer yang terinfeksi. Pendarahannya berhenti.
Bagaimana botnet berkomunikasi? Di tempat-tempat pintar.
– Blockchain Solana
– Rekan BitTorrent
– Google Kalender
– Server pribadi virtual
Tersembunyi di depan mata. Anda memeriksa kalender Anda dan itu dia—kumpulan instruksi berbahaya.
Apakah ada yang meminta izin untuk mencabut stekernya? Tidak jelas. Saat didesak, CrowdStrike tidak memberikan rincian tambahan selain laporan publik mereka. Keheningan di mana kejelasan hukum biasanya hidup.
Ini bukanlah insiden yang terisolasi. Baru minggu lalu, sebuah kelompok terpisah bernama “Mini Shai-Hulid” mengkompromikan beberapa proyek. Mereka mendorong pembaruan yang buruk. Dua pengembang OpenAI menjadi korban. Sebelumnya, pada bulan Maret, sebuah alat bernama Axios—yang digunakan oleh jutaan orang—dibajak, diduga oleh peretas Korea Utara.
Mengapa hal ini terus terjadi? Karena open source menjalankan internet modern. Dan kepercayaan adalah satu-satunya penghalang. Sampai hal itu berubah, pengembang akan tetap berada di garis bidik. Kodenya hanya kendaraannya saja.
