4 Paket npm Berbahaya Sebarkan RAT Malware ke Sistem Developer

Ringkasan

Peneliti keamanan siber menemukan empat package npm berbahaya yang digunakan untuk menyebarkan malware jenis Remote Access Trojan (RAT) ke sistem developer dan environment DevOps.

Package tersebut menyamar sebagai tools terkait proyek open-source OpenClaw dan didistribusikan melalui registry npm sebagai bagian dari kampanye software supply chain attack yang sedang berlangsung.

Malware ini mampu:

• Mencuri data browser
• Mengambil wallet cryptocurrency
• Mengakses kredensial cloud
• Membuka remote access ke perangkat korban
• Mengunduh payload tambahan secara diam-diam

Aktivitas Malware (Terminal-Style)

[+] Threat Type      : Remote Access Trojan (RAT)
[+] Distribution     : npm Registry
[+] Target           : Developers / DevOps Environments
[+] Infection Method : Malicious npm Packages
[+] Campaign Status  : Active

[+] Malware Capability:
    - Browser credential theft
    - Cryptocurrency wallet extraction
    - Cloud token harvesting
    - Remote shell access
    - Multi-stage payload execution

[+] Initial Infection Flow:

npm install <malicious-package>
        ↓
Post-install script executed
        ↓
Remote payload downloaded
        ↓
Persistence created
        ↓
Sensitive data exfiltrated

[!] Warning:
    Packages disguised as OpenClaw-related tools
    detected distributing RAT payloads.

[!] Recommendation:
    Audit npm dependencies immediately.

[!] Source:
    darkdotweb.com

Analisis

• Serangan ini termasuk kategori software supply chain attack yang menargetkan ekosistem open-source.
• Pelaku memanfaatkan kepercayaan developer terhadap package npm untuk menyisipkan malware.
• Teknik multi-stage payload digunakan agar malware lebih sulit dideteksi antivirus dan scanner tradisional.
• Risiko utama meliputi:
  • Kebocoran source code
  • Pengambilalihan server cloud
  • Pencurian aset cryptocurrency
  • Kompromi pipeline CI/CD

Developer Node.js dan tim DevOps disarankan segera melakukan audit dependency serta memeriksa package yang baru diinstal dalam beberapa minggu terakhir.

Mitigasi yang Disarankan

npm audit

npm ls

npm cache clean --force

Langkah tambahan:

• Verifikasi package sebelum instalasi
• Hindari package dengan maintainer anonim
• Gunakan lockfile dependency
• Aktifkan monitoring supply chain security
• Pantau aktivitas postinstall script

Sumber

• https://darkdotweb.com/2026/05/19/4-malicious-npm-packages-spread-rat-malware-in-2026/

• http://dacfvdnmq74nony36wvm7iofmj4jedbhexfsclmrzajn5guuqafibbqd.onion/2026/05/19/4-malicious-npm-packages-spread-rat-malware-in-2026/