Serangan siber baru-baru ini menargetkan pengguna editor kode AI populer, Cursor. Pelaku ancaman menggunakan repositori paket Python (PyPI) sebagai vektor serangan, mengunggah paket berbahaya yang menyamar sebagai pustaka yang sah.
Paket Berbahaya di PyPI Menyamar sebagai Pustaka Sah
Sebuah paket bernama better-sqlite3 diunggah ke PyPI. Nama ini sengaja dipilih untuk meniru pustaka C++ populer yang memiliki binding untuk berbagai bahasa. Namun, paket di PyPI ini bukanlah binding resmi atau pustaka yang sah; sebaliknya, itu adalah malware yang dirancang untuk menipu pengembang, terutama mereka yang mungkin menggunakan fitur manajemen dependensi di editor kode AI seperti Cursor. Pengguna yang menginstal paket ini secara tidak sengaja menginfeksi sistem mereka.
Mekanisme Infeksi dan Pengambilan Data
Paket better-sqlite3 yang berbahaya tidak berisi muatan pencuri data secara langsung. Sebaliknya, ia berfungsi sebagai pengunduh atau “stager”. Setelah diinstal, paket ini akan menghubungi server perintah dan kontrol (C2) yang dikendalikan oleh penyerang. Dari server C2 ini, ia akan mengunduh muatan utama malware dalam bentuk skrip Python (db.py setelah diekstrak dari db.zip). Skrip inilah yang menjalankan fungsi pencurian data.
Data Sensitif yang Ditargetkan oleh Malware
Muatan malware yang diunduh memiliki kemampuan luas untuk mengumpulkan berbagai jenis data sensitif dari komputer korban. Target utamanya meliputi:
- File dompet cryptocurrency: Malware secara aktif mencari file terkait dompet dari aplikasi populer seperti Exodus, Atomic Wallet, Electrum, Coinomi, Ledger Live, dan lainnya.
- Data browser: Kuki (cookies), sandi tersimpan, dan data sensitif lainnya dari browser berbasis Chromium seperti Google Chrome, Microsoft Edge, Brave, Opera, dan Vivaldi dikumpulkan.
- Token Discord: Token otentikasi pengguna Discord dicuri, memungkinkan penyerang mengambil alih akun.
- Kunci SSH: Kunci Secure Shell (SSH) yang digunakan untuk akses jarak jauh ke server juga menjadi sasaran.
- Kredensial Aplikasi Lain: Informasi login dan sesi dari aplikasi seperti FileZilla (klien FTP) dan Steam (platform game) juga dicari dan dicuri.
Malware ini dirancang untuk mencari file di lokasi-lokasi umum yang digunakan oleh aplikasi tersebut dan mengekstrak informasi berharga. Data yang dicuri kemudian dikirim (diekfiltrasi) kembali ke server C2 penyerang.
Implikasi dan Tindakan Pencegahan
Insiden ini menyoroti risiko menginstal paket perangkat lunak dari sumber publik tanpa verifikasi yang cermat, bahkan jika direkomendasikan atau muncul dalam konteks alat bantu AI. Pengguna editor Cursor AI atau pengembang Python lainnya yang mungkin telah menginstal paket better-sqlite3 dari PyPI sangat disarankan untuk:
- Memeriksa sistem mereka untuk keberadaan paket atau aktivitas mencurigakan.
- Segera mengubah sandi dan mengaktifkan otentikasi dua faktor (2FA) pada semua akun penting, terutama dompet cryptocurrency, layanan keuangan, email, dan akun pengembangan.
- Mempertimbangkan untuk memindahkan dana dari dompet yang berpotensi disusupi.
- Menjalankan pemindaian antivirus dan antimalware yang mendalam pada sistem yang terpengaruh.
PyPI telah menghapus paket berbahaya ini, tetapi ancaman tetap ada bagi mereka yang telah menginstalnya. Kejadian ini menjadi pengingat penting tentang perlunya praktik keamanan yang ketat dalam rantai pasokan perangkat lunak open-source.
Sumber: https://securelist.com/open-source-package-for-cursor-ai-turned-into-a-crypto-heist/116908/