Peneliti cybersecurity telah menemukan paket jahat bernama “OS-Info-checker-ES6” yang menyamarkan dirinya sebagai utilitas informasi sistem operasi untuk secara diam-diam menjatuhkan muatan tahap berikutnya ke sistem yang dikompromikan.
“Kampanye ini menggunakan steganografi berbasis unicode yang cerdas untuk menyembunyikan kode jahat awalnya dan menggunakan tautan pendek acara Kalender Google sebagai penetes dinamis untuk muatan terakhirnya,” kata Veracode dalam sebuah laporan yang dibagikan dengan Hacker News.
“Os-Info-Checker-ES6” pertama kali diterbitkan di NPM Registry pada 19 Maret 2025, oleh seorang pengguna bernama “KIM9123.” Telah diunduh 2.001 kali saat menulis. Pengguna yang sama juga telah mengunggah paket NPM lain yang disebut “Skip-Tot” yang mencantumkan “OS-Info-checker-ES6” sebagai ketergantungan. Paket telah diunduh 94 kali.
Sementara lima versi awal tidak menunjukkan tanda-tanda exfiltrasi data atau perilaku jahat, iterasi berikutnya yang diunggah pada 7 Mei 2025, telah ditemukan termasuk kode yang dikaburkan dalam file “preinstall.js” untuk mengurai karakter “akses penggunaan pribadi” unicode dan mengekstrak muatan tahap berikutnya.
Kode berbahaya, untuk bagiannya, dirancang untuk menghubungi acara pendek acara Kalender Google (“Calendar.app[.]Google/
Namun, tidak ada muatan tambahan yang didistribusikan pada saat ini. Ini menunjukkan bahwa kampanye masih dalam proses, atau saat ini tidak aktif. Kemungkinan lain adalah bahwa ia telah menyimpulkan, atau bahwa server perintah-dan-kontrol (C2) dirancang untuk merespons hanya terhadap mesin tertentu yang memenuhi kriteria tertentu.
“Penggunaan layanan yang sah dan tepercaya ini seperti Google Calendar sebagai perantara untuk meng -host tautan C2 berikutnya adalah taktik pintar untuk menghindari deteksi dan membuat pemblokiran tahap awal serangan menjadi lebih sulit,” kata Veracode.
Perusahaan Keamanan Aplikasi dan Aikido, yang juga merinci kegiatan tersebut, lebih lanjut mencatat bahwa tiga paket lain telah mendaftarkan “OS-Info-Checker-ES6” sebagai ketergantungan, meskipun diduga bahwa paket dependen adalah bagian dari kampanye yang sama-
- Vue-dev-Serverr
- vue-dummy
- vue-bit
“Paket OS-Info-checker-ES6 merupakan ancaman yang canggih dan berkembang dalam ekosistem NPM,” kata Veracode. “Penyerang menunjukkan perkembangan dari pengujian yang jelas menjadi menggunakan malware multi-tahap.”
Pengungkapan ini datang ketika perusahaan keamanan rantai pasokan perangkat lunak Socket menyoroti tipeling, penyalahgunaan caching repositori GO, kebingungan, eksekusi multi-tahap, slopsquatting, dan penyalahgunaan layanan yang sah dan alat pengembang sebagai enam teknik permusuhan utama yang diadopsi oleh para aktor ancaman pada paruh pertama 2025.
“Untuk melawan ini, para pembela harus fokus pada sinyal perilaku, seperti skrip pasca-pemasangan yang tidak terduga, mengajukan timpa, dan lalu lintas keluar yang tidak sah, sambil memvalidasi paket pihak ketiga sebelum digunakan,” kata peneliti keamanan Kirill Boychenko dan Philipp Burckhardt.
“Analisis statis dan dinamis, pinning versi, dan inspeksi tertutup log CI/CD sangat penting untuk mendeteksi ketergantungan berbahaya sebelum mencapai produksi.”
