GitHub pada hari Senin mengumumkan bahwa mereka akan mengubah opsi autentikasi dan publikasi “dalam waktu dekat” sebagai respons terhadap gelombang serangan supply chain terbaru yang menargetkan ekosistem npm, termasuk serangan Shai-Hulud.

Langkah ini mencakup upaya untuk mengatasi ancaman dari penyalahgunaan token dan malware yang dapat mereplikasi diri, antara lain dengan:

Trusted publishing tidak hanya menghilangkan kebutuhan penggunaan token npm, tetapi juga membangun kepercayaan kriptografis dengan mengautentikasi setiap publikasi menggunakan kredensial khusus yang berumur pendek, tidak dapat dieksfiltrasi maupun digunakan kembali. Lebih jauh lagi, npm CLI akan otomatis menghasilkan dan memublikasikan provenance attestations untuk setiap paket.

“Setiap paket yang dipublikasikan melalui trusted publishing menyertakan bukti kriptografis mengenai sumber dan lingkungan build-nya,” jelas GitHub pada akhir Juli 2025. “Pengguna dapat memverifikasi di mana dan bagaimana paket dibuat, sehingga meningkatkan kepercayaan pada rantai pasokan perangkat lunak.”

Untuk mendukung perubahan tersebut, perusahaan milik Microsoft ini menyatakan akan mengambil langkah-langkah berikut:

Perkembangan ini terjadi seminggu setelah serangan supply chain bernama sandi Shai-Hulud, yang menyuntikkan worm self-replicating ke ratusan paket npm. Worm ini memindai mesin pengembang untuk menemukan rahasia sensitif dan mengirimkannya ke server yang dikendalikan penyerang.

“Dengan menggabungkan kemampuan replikasi diri dan pencurian berbagai jenis rahasia (bukan hanya token npm), worm ini berpotensi memicu serangan tanpa henti jika tidak segera dihentikan oleh GitHub dan para pengelola open source,” ujar Xavier René-Corail dari GitHub.

Perubahan ini diumumkan hanya beberapa hari setelah repositori paket NuGet .NET menambahkan dukungan trusted publishing, serta Ruby Central memperkenalkan langkah-langkah baru untuk memperkuat keamanan supply chain di RubyGems.

“Ke depan, hanya engineer yang bekerja atau dikontrak oleh Ruby Central yang memiliki izin administratif di layanan RubyGems.org,” kata Ruby Central. “Ini mencakup sistem produksi maupun repositori GitHub kami. Dalam jangka pendek, akses administratif akan kami pegang sementara hingga kebijakan baru mengenai batasan akses commit dan organisasi diselesaikan.”

Sementara itu, perusahaan keamanan supply chain perangkat lunak Socket mengungkap paket npm berbahaya bernama fezbox, yang mampu mencuri kata sandi browser menggunakan teknik steganografi berbasis kode QR. Paket ini kini sudah dihapus dari npm, namun sebelumnya sempat diunduh sebanyak 476 kali sejak dirilis pada 21 Agustus 2025.

Menurut peneliti keamanan Olivia Brown, aktor ancaman dengan alias npm janedu (email registrasi: janedu0216@gmail[.]com) mengeksekusi payload dalam bentuk kode QR untuk mencuri kredensial username dan password dari web cookies di browser.

Fezbox mengklaim sebagai utilitas JavaScript dengan fungsi-fungsi umum, namun sebenarnya menyembunyikan kode berbahaya yang mengambil kode QR dari URL eksternal, mem-parsing-nya, lalu mengeksekusi payload JavaScript yang terselubung di dalamnya.

Payload tersebut berusaha membaca document.cookie, mengekstrak informasi username dan password, lalu mengirimkannya ke server eksternal (my-nest-app-production>.up.railway[.]app) melalui permintaan HTTPS POST.

“Sebagian besar aplikasi modern tidak lagi menyimpan kata sandi dalam bentuk literal di cookies, sehingga sulit memastikan tingkat keberhasilan malware ini,” jelas Brown. “Namun, penggunaan kode QR untuk obfuscation adalah trik kreatif dari aktor ancaman. Teknik ini menunjukkan bagaimana mereka terus mengembangkan cara penyamaran, dan betapa pentingnya memiliki alat khusus untuk memeriksa dependensi Anda.”