Malware bernama Stealit baru-baru ini terungkap sebagai kampanye aktif yang memanfaatkan fitur eksperimental Node.js Single Executable Application (SEA) untuk mendistribusikan muatannya. Dengan SEA, aplikasi Node.js dapat dikemas menjadi file eksekusi tunggal yang jalan di mesin tanpa perlu runtime Node.js terpasang — sebuah celah yang dimanfaatkan pelaku untuk menjalankan skrip berbahaya secara mulus pada sistem korban. Beberapa varian Stealit juga dilaporkan menggunakan framework Electron sebagai mekanisme pengiriman, sehingga makin memudahkan penyebaran lewat paket-paket yang tampak sah.

Distribusi Stealit dilakukan lewat installer palsu yang diberi label game atau aplikasi VPN, lalu diunggah ke platform berbagi file dan kanal seperti Mediafire dan Discord. Setelah dieksekusi, installer tersebut memuat installer tambahan yang melakukan pemeriksaan anti-analisis untuk memastikan tidak berjalan di lingkungan virtual atau sandbox, baru kemudian menarik komponen utama dari server command-and-control (C2) untuk diinstal. Sebelum berkomunikasi dengan C2, malware menulis sebuah kunci autentikasi alfanumerik 12 karakter yang di-encode Base64 ke berkas %temp%\cache.json — kunci ini menjadi identitas untuk autentikasi ke C2 sekaligus yang kemungkinan dipakai pelanggan pada dashboard kontrol.

Para pengendali Stealit mengoperasikan situs yang menawarkan “solusi ekstraksi data profesional” dengan skema berlangganan; mereka menyediakan paket Windows stealer dan RAT (remote access trojan) untuk Android/Windows. Harga yang diumumkan berkisar dari puluhan dolar untuk langganan mingguan hingga ratusan atau ribuan dolar untuk lisensi seumur hidup, menunjukkan model “malware-as-a-service” yang terkomersialisasi. Fungsionalitas yang ditawarkan termasuk ekstraksi file, kontrol webcam, monitoring layar secara real-time, eksekusi perintah jarak jauh, dan kemampuan penyebaran ransomware.

Untuk menghindari deteksi, Stealit berupaya mengonfigurasi pengecualian pada Microsoft Defender Antivirus sehingga folder yang berisi komponen yang diunduh tidak ter-scan. Dalam praktiknya, ada tiga eksekusi utama yang dipakai oleh kampanye ini. Pertama, save_data.exe (dijalankan bila mendapat hak istimewa tinggi) yang menurunkan tool bernama cache.exe — bagian dari proyek open-source ChromElevator — untuk menggali data dari browser berbasis Chromium. Kedua, stats_db.exe yang dirancang untuk mengekstrak data dari aplikasi pesan (Telegram, WhatsApp), dompet kripto dan ekstensi wallet (seperti Atomic dan Exodus), serta aplikasi terkait game (Steam, Minecraft, GrowTopia, Epic Games Launcher). Ketiga, game_cache.exe yang bertugas menempatkan mekanisme persistence: membuat skrip Visual Basic agar malware auto-luncur saat boot, berkomunikasi dengan C2 untuk streaming layar korban secara real-time, menjalankan perintah sewenang-wenang, mengunduh/unggah file, hingga mengubah wallpaper desktop.

Eksploitasi fitur SEA yang masih eksperimental memungkinkan aktor ancaman memanfaatkan “efek kejutan” — file eksekusi tunggal yang tampak sah, yang mungkin belum sepenuhnya dikenali oleh solusi keamanan atau analis malware. Kombinasi SEA/Electron, pengecekan anti-analisis, penulisan kunci autentikasi lokal, pengaturan pengecualian Defender, dan kemampuan komprehensif untuk mencuri data serta mengendalikan perangkat menjadikan Stealit kampanye yang berbahaya dan komersialnya mengkhawatirkan. Bagi pengguna dan organisasi, penting untuk mengunduh perangkat lunak hanya dari sumber resmi, mengaktifkan proteksi endpoint yang up-to-date, serta waspada terhadap installer dari situs berbagi file atau tautan pihak ketiga yang tidak terverifikasi.