SlowMist pada 20 Mei merilis intelijen ancaman di X, mengonfirmasi bahwa beberapa paket npm berfrekuensi tinggi dan beberapa versi Python SDK durabletask diserang melalui serangan rantai pasok oleh “Mini Shai-Hulud”. SlowMist juga menyatakan bahwa serangan ransomware terhadap Grafana Labs pada 16 Mei “kemungkinan besar” terkait dengan serangan rantai pasok ini.
Timeline Serangan dan Komponen yang Terdampak
(Sumber: SlowMist)
Berdasarkan timeline serangan yang dikonfirmasi oleh intelijen ancaman SlowMist:
19 Mei 2026: Akun npm atool (i@hust.cc) diretas, penyerang dalam 22 menit secara otomatis memposting 317 paket dengan 637 versi berbahaya, yang berdampak pada komponen berfrekuensi tinggi di ekosistem npm seperti AntV dan Echarts-for-react.
20 Mei 2026 pukul 00:19 hingga 00:54 waktu Beijing: Dalam 35 menit, penyerang secara berurutan mengunggah versi durabletask 1.4.1 (00:19), 1.4.2 (00:49), dan 1.4.3 (00:54), melewati kontrol rilis resmi Microsoft dan meniru rilis normal Microsoft.
SlowMist mengonfirmasi bahwa target penyerang, selain npm dan paket Python yang terinfeksi, juga mencakup kredensial dan kunci pengembang (GitHub PAT, npm Token, kunci AWS, Kubernetes Secret, Vault Token, kunci SSH, serta lebih dari 90 jenis file sensitif lokal), dan juga repositori kode internal yang mungkin dapat diakses melalui kebocoran token.
Keterkaitan yang Dikonfirmasi dengan Kebocoran Token GitHub dan Insiden Grafana
SlowMist dalam intelijen ancamannya menjelaskan keterkaitan dua peristiwa ini dengan serangan rantai pasok tersebut:
Kebocoran Token GitHub dalam Skala Besar: SlowMist menyatakan, “Bukti menunjukkan bahwa sebagian token yang bocor mungkin telah digunakan untuk mengakses dan mungkin dijual repositori kode resmi GitHub.” Pihak resmi GitHub telah mengonfirmasi, penyebab kebocoran ini adalah sebuah perangkat milik karyawan yang menginstal ekstensi VS Code yang terinfeksi.
Serangan Grafana Labs (16 Mei 2026): SlowMist mengonfirmasi bahwa kelompok kriminal siber mengakses repositori kode GitHub Grafana Labs tanpa otorisasi, mengunduh repositori, dan mengirim permintaan ransomware dengan ancaman kebocoran data.
SlowMist juga menjelaskan pola tindakan potensial penyerang: mencuri kredensial cloud dan lokal, mengakses repositori internal dan infrastruktur cloud sensitif tanpa otorisasi, melakukan pergerakan lateral antara perangkat pengembang dan jalur CI/CD, serta menjual token GitHub yang bocor.
Langkah Mitigasi yang Disarankan SlowMist
Berdasarkan saran resmi SlowMist untuk mitigasi yang dikonfirmasi:
Segera rotasi: Semua kredensial GitHub, npm, PyPI, dan cloud yang terpapar
Ganti paket yang terdampak: Ganti paket npm/PyPI yang terdampak dengan versi aman yang telah diverifikasi, atau bekukan versi dependensi
Isolasi sistem: Pisahkan sistem yang mungkin sudah disusupi dan lakukan audit untuk mencegah kredensial dicuri atau pergerakan lateral
Tinjau dependensi: Periksa berkas lock (package-lock.json, yarn.lock, requirements.txt, dll.) apakah memuat versi yang terdampak
Pantau aktivitas anomali: Pantau aktivitas GitHub dan cloud, cari tanda-tanda kejadian autentikasi yang tidak wajar dan kebocoran token
Pertanyaan yang Sering Diajukan
Paket apa saja yang dikonfirmasi terdampak oleh serangan Mini Shai-Hulud?
Berdasarkan intelijen ancaman SlowMist, paket yang terdampak mencakup komponen berfrekuensi tinggi di ekosistem npm seperti AntV dan Echarts-for-react, serta paket Python durabletask versi 1.4.1, 1.4.2, dan 1.4.3. SlowMist menyatakan akan terus melacak apakah ada versi berbahaya baru yang dirilis.
Bagaimana SlowMist menilai kebocoran token GitHub terkait dengan serangan rantai pasok ini?
Penilaian SlowMist didasarkan pada analisis intelijen ancaman, dan dikategorikan sebagai “kemungkinan besar” (bukan konfirmasi mutlak), dengan alasan bahwa sebagian token yang bocor mungkin telah digunakan untuk mengakses repositori kode GitHub. Pihak GitHub resmi juga telah mengonfirmasi secara independen bahwa perangkat karyawan disusupi oleh ekstensi VS Code berbahaya.
Bagaimana pengembang dapat dengan cepat memastikan proyek mereka menggunakan versi yang terdampak?
Berdasarkan saran SlowMist, dapat dilakukan melalui perintah berikut: untuk paket npm gunakan npm ls --all; untuk paket Python gunakan pip show durabletask untuk memastikan nomor versinya; sekaligus periksa berkas lock (package-lock.json, yarn.lock, requirements.txt, dll.) apakah memuat versi berbahaya yang terdampak.
