ACEH — Rekayasa sosial lewat repositori kode terbuka kembali menjadi modus operandi para pelaku kejahatan siber. Tim keamanan supply-chain asal Amerika Serikat, Socket, baru saja merilis laporan yang mengungkap kampanye malware berskala besar yang menyusup ke ekosistem Go melalui GitHub.
Socket melacak bahwa modul jahat ini pertama kali muncul pada 24 Januari 2025. Hingga kini, modul tersebut telah memiliki lebih dari 1.200 versi, dimana 700 di antaranya adalah varian berbahaya. Semua modul ini tersebar di 222 repositori GitHub yang dikelola oleh 190 akun berbeda.
Yang menarik, pelaku menggunakan trik teknis untuk memperbanyak jumlah versi. Karena Go secara otomatis membuat nomor versi pseudo dari timestamp setiap commit, pelaku memanfaatkan GitHub Actions untuk melakukan commit setiap menit. Hasilnya, satu repositori bisa memiliki ratusan "rilis" yang terlihat sah.
Untuk menarik korban, para pelaku menyebarkan umpan dengan tema yang sangat spesifik. Repositori-repositori ini mengaku sebagai tool untuk integrasi dompet MetaMask dan Trust Wallet, utility seed phrase, hingga bot untuk Binance, PayPal, Telegram, dan Discord. Tak hanya itu, ada juga repositori yang menawarkan cheat untuk game populer seperti PUBG, Valorant, dan Escape from Tarkov.
Salah satu contohnya adalah repositori bernama nrevv1lad/Pubg-DESYNC-Menu. Repositori ini tampil sebagai cheat eksternal lengkap dengan panduan instalasi, namun di dalam source code-nya tersembunyi file Loader.exe yang terhubung dengan malware Vidar.
Socket menjelaskan bahwa setelah korban mengunduh dan menjalankan modul tersebut, file main.go akan meluncurkan perintah PowerShell secara tersembunyi. Perintah ini mengunduh konten dari situs muckcoding.com, mendekodenya menggunakan tool bawaan Windows certutil, lalu menjalankan hasilnya dengan pengaturan kebijakan eksekusi yang dilonggarkan.
Proses dekripsi yang digunakan bertingkat. Pelaku menggunakan kombinasi encoding Base64 dan XOR. Menariknya, di salah satu lapisan kode, ditemukan komentar berbahasa Turki yang jika diterjemahkan berarti "jalankan langsung, tidak perlu langkah lain."
Alih-alih menyematkan URL payload secara langsung, pelaku menggunakan metode yang lebih licin. Kode akan mengambil teks dari platform publik seperti Pastebin atau Rlim, mencari penanda "LastW", lalu mendekripsi blok data di belakangnya dengan kunci yang sudah ditentukan. Jika satu server paste dihapus, pelaku tinggal memperbarui konten di platform lain tanpa perlu menyentuh modul utama di perangkat korban.
Setelah URL target ditemukan, loader akan mengunduh arsip 7-Zip yang dilindungi kata sandi dari GitHub Releases. Arsip ini kemudian diekstrak ke dalam folder yang sengaja dinamai mirip dengan folder instalasi Microsoft Photos, lalu menjalankan file Microsoft.exe secara tersembunyi.
Dari hasil analisis, Socket menemukan setidaknya 14 file malware unik dalam kampanye ini. Jenisnya beragam, mulai dari Trojan loader, Vidar infostealer, hingga XMRig—sebuah perangkat lunak penambang cryptocurrency Monero. Beberapa payload juga terdeteksi sebagai varian dari RAT (Remote Access Trojan) seperti AsyncRAT, Quasar, dan Remcos.
Satu file bernama Loader.exe bahkan ditemukan identik secara byte di empat repositori berbeda, menandakan bahwa pelaku menggunakan kode dasar yang sama untuk berbagai kampanye.
Socket menilai dengan keyakinan tinggi bahwa "Operation Muck and Load" ini adalah kelanjutan dari kampanye yang didokumentasikan oleh Sophos pada Juni 2024. Peneliti Sophos, Matt Wixey dan Andrew O'Donnell, saat itu melacak 141 repositori GitHub—133 di antaranya telah dibackdoor—ke alamat email yang sama, yaitu ischhfd83@rambler.ru.
Sophos juga mengidentifikasi "Muck" sebagai salah satu alias pelaku, yang kini diabadikan dalam nama domain muckcoding.com dan muckdeveloper.com. Hingga berita ini ditulis, GitHub dan tim Go belum memberikan komentar resmi selain memblokir modul tersebut dari proxy resmi Go.
Bagi pengguna Indonesia yang gemar mencari tool otomatisasi atau cheat game dari GitHub, ada baiknya untuk lebih waspada. Selalu periksa reputasi repositori, jumlah bintang, dan riwayat commit sebelum menjalankan kode sembarangan di perangkat utama Anda.