Pencarian

Hati-Hati, Malware Baru di GitHub Incar Pengguna Go dengan Kamuflase Scanner DNS

Minggu, 12 Juli 2026 • 11:26:01 WIB
Hati-Hati, Malware Baru di GitHub Incar Pengguna Go dengan Kamuflase Scanner DNS
Modul Go palsu di GitHub terdeteksi menyebarkan malware Windows melalui scanner DNS palsu.

KALIMANTAN SELATAN — Ribuan pengembang dan pengguna teknis yang mengandalkan ekosistem Go untuk mengelola dependensi proyek kini menghadapi ancaman serius. Sebuah modul Go yang dirancang untuk terlihat seperti alat pemindai DNS dan subdomain ternyata merupakan pintu masuk untuk menyebarkan malware Windows.

Lebih dari 200 Repositori Jadi Sarang Malware

Firma keamanan rantai pasok Socket mengidentifikasi jaringan yang terdiri dari 222 repositori GitHub yang tersebar di 190 akun berbeda. Semua repositori ini menggunakan pola yang sama: modul Go palsu yang pertama kali diunggah pada 24 Januari 2025.

Yang membuat kasus ini unik adalah metode pelaku. Mereka memanfaatkan celah sistem penamaan versi di Go. Setiap kali ada komit baru tanpa tag versi semantik, Go secara otomatis menghasilkan "pseudo-version" dari timestamp dan hash komit tersebut. Pelaku mengeksploitasi ini dengan menjalankan GitHub Actions setiap menit untuk membuat komit baru, sehingga satu modul bisa memiliki ratusan versi dalam waktu singkat.

Cara Kerja: Dari Scanner Palsu ke RAT dan Pencuri Data

Socket mengonfirmasi bahwa modul tersebut bukan sekadar pengganggu. File main.go-nya menjalankan perintah PowerShell tersembunyi yang mengunduh konten dari situs muckcoding.com. Konten tersebut kemudian didekode menggunakan certutil dan dijalankan dengan aturan execution-policy bypass.

Peneliti menemukan bahwa skrip yang diunduh merupakan loader multi-lapis dengan enkripsi Base64 dan XOR. Yang menarik, di salah satu lapisan kode terdapat komentar berbahasa Turki yang jika diterjemahkan berarti "jalankan langsung, tidak perlu langkah lain."

Alih-alih menyematkan URL payload secara langsung, pelaku menggunakan metode yang lebih cerdik. Loader mencari teks dari platform publik seperti Pastebin, Rlim, YouTube, Instagram, Telegram, Google Docs, dan GitCode. Kemudian mencari penanda "LastW" dan mendekripsi blok di belakangnya untuk mendapatkan lokasi unduhan yang sebenarnya.

Payload yang Ditemukan: Dari Trojan hingga Penambang Kripto

Setelah berhasil masuk, loader akan mengunduh arsip 7-Zip yang dilindungi kata sandi dari aset rilis GitHub. Arsip ini diekstrak ke direktori yang menyerupai instalasi Microsoft Photos, lalu menjalankan file Microsoft.exe dari direktori tersebut dengan jendela tersembunyi.

Socket mengonfirmasi setidaknya 14 file malware unik dalam sampel yang dianalisis. Payload yang terdeteksi mencakup:

  • AsyncRAT, Quasar, dan Remcos-style RAT (Remote Access Trojan) — memungkinkan pelaku mengendalikan komputer korban dari jarak jauh
  • Vidar infostealer — mencuri data sensitif seperti kredensial dan informasi dompet kripto
  • Trojan loader dan dropper — pintu masuk untuk malware lain
  • XMRig — penambang Monero yang diam-diam menggunakan sumber daya komputer korban

Umpan yang Menarik: Cheat Game hingga Bot Kripto

Untuk menarik korban, pelaku menyamarkan modul berbahaya ini sebagai berbagai alat populer. Tema umpan meliputi integrasi MetaMask dan Trust Wallet, utilitas seed-phrase, otomatisasi Binance dan PayPal, bot Telegram dan Discord, serta cheat game untuk PUBG, Valorant, dan Escape from Tarkov.

Salah satu contoh mencolok adalah repositori bernama nrevv1lad/Pubg-DESYNC-Menu. Repositori ini berpura-pura menjadi cheat eksternal PUBG lengkap dengan panduan instalasi, namun di dalam source tree-nya terdapat file Loader.exe yang terhubung dengan Vidar infostealer.

Jejak Lama yang Muncul Kembali

Socket menilai dengan tingkat keyakinan tinggi bahwa operasi ini terkait dengan kampanye yang didokumentasikan Sophos pada Juni 2024. Peneliti Sophos, Matt Wixey dan Andrew O'Donnell, sebelumnya melacak 141 repositori GitHub — 133 di antaranya telah dibackdoor — ke alamat email yang sama: ischhfd83@rambler.ru. Sophos juga mengidentifikasi "Muck" sebagai salah satu alias pelaku, yang kini tertanam dalam domain muckcoding.com dan muckdeveloper.com.

Hingga saat ini, GitHub dan tim Go belum memberikan komentar resmi selain memblokir modul tersebut dari proxy Go module. Bagi pengguna di Indonesia yang sering mengunduh alat dari GitHub, disarankan untuk memeriksa ulang repositori yang mencurigakan dan memastikan hanya menggunakan modul dari sumber tepercaya.

Bagikan
Sumber: tomshardware.com

This article was automatically rewritten by AI based on the source above without altering the facts of the original article.

Berita Lainnya

Indeks

Pilihan

Indeks

Berita Terkini

Indeks