Tahukah Anda bahwa teknologi terbaru yang dikembangkan untuk mempermudah coding sekarang justru disalahgunakan oleh penjahat siber? Simak bagaimana malware NWHStealer memanfaatkan runtime 'Bun' untuk mencuri data pribadi Anda tanpa terdeteksi!
Dunia keamanan siber kembali diguncang dengan taktik baru yang digunakan oleh para penjahat digital. Menurut laporan mendalam dari para peneliti di Malwarebytes, infostealer bernama NWHStealer telah berevolusi dengan mengadopsi JavaScript runtime yang sedang naik daun, yaitu Bun. Pemilihan Bun oleh para penyerang ini bukan tanpa alasan; sebagai toolkit modern yang dirancang sebagai pengganti Node.js yang cepat, Bun memungkinkan pengembang untuk menggabungkan banyak fungsi ke dalam satu file eksekusi yang ringkas. Bagi penyerang, sifat Bun yang relatif baru di mata sistem keamanan menjadikannya celah sempurna untuk membungkus kode berbahaya agar tidak mudah terdeteksi oleh antivirus tradisional.
\
Bagaimana NWHStealer Bekerja?\
NWHStealer sendiri adalah stealer berbasis Rust yang dirancang untuk mengumpulkan data sensitif secara agresif. Begitu berhasil menyusup, malware ini tidak main-main; ia mampu menarik informasi sistem, data dari berbagai browser dan extensions, riwayat percakapan di aplikasi seperti Discord, hingga menguras isi dompet mata uang kripto milik korban. Tidak berhenti di situ, malware ini juga mampu melakukan injeksi kode ke dalam proses browser yang sedang berjalan dan tetap bertahan di sistem melalui scheduled tasks yang mereka buat sendiri. Seluruh data curian ini kemudian dikirimkan ke server kendali (Command and Control) yang infonya sering kali diambil dari Telegram.
\
Modus Operandi: Menyamar sebagai Software Populer\
Strategi distribusi mereka sangat licik. Mereka mengunggah file berbahaya di platform yang terpercaya seperti GitHub, GitLab, SourceForge, dan Itch.io. Pengguna biasanya terjebak dengan mengunduh trainer game, mod, atau tools aktivasi software dengan nama file yang tampak sangat meyakinkan seperti MOUSE_PI_Trainer_v1.0.zip atau Autodesk.zip. Di dalam arsip tersebut, terdapat file Installer.exe yang sudah dibungkus dengan runtime Bun. Bahkan, jika eksekusi utama gagal, penyerang menyediakan file dw.exe sebagai cadangan untuk memastikan infeksi tetap berjalan di komputer Anda.
\
Deteksi Lingkungan yang Canggih\
Yang membuat NWHStealer ini cukup berbahaya adalah kemampuannya melakukan pemeriksaan anti-virtualisasi. Sebelum benar-benar melepaskan muatan jahatnya, malware ini akan menjalankan deretan perintah PowerShell untuk memeriksa apakah ia sedang berada di lingkungan sandbox atau mesin virtual. Mereka memindai hardware, jumlah proses yang berjalan, hingga nama pengguna. Jika sistem dianggap aman dan bukan merupakan lingkungan penelitian keamanan, barulah NWHStealer akan mulai mengunduh payload utama menggunakan enkripsi AES-256-CBC melalui modul bun:ffi yang memungkinkan JavaScript berinteraksi langsung dengan API sistem Windows.
\
\"Keamanan data pribadi Anda kini berada di tangan kewaspadaan Anda sendiri. Jangan pernah mengunduh software dari sumber yang tidak jelas, dan selalu periksa tanda tangan digital file sebelum membukanya.\"
\
Langkah Preventif untuk Kita Semua\
Menghadapi ancaman yang terus berkembang ini, Anda tidak perlu panik, namun harus lebih teliti. Selalu pastikan Anda mengunduh aplikasi hanya dari situs resmi pengembang. Jika terpaksa menggunakan situs berbagi file, periksa reputasi pengunggah, tanggal pembuatan profil, dan kelengkapan file dalam arsip. Jika dirasa ada yang ganjil, jangan ragu untuk menghapusnya. Jangan lupa untuk mempertimbangkan penggunaan alat pelindung tambahan seperti Malwarebytes Browser Guard yang dapat memblokir situs berbahaya sebelum sempat memuat konten jahat di komputer Anda. Baca selengkapnya di sini untuk detail teknis lengkap mengenai IOC (Indikator Kompromi) yang perlu Anda waspadai.
Sumber berita https://www.malwarebytes.com/blog/threat-intel/2026/05/attackers-adopt-javascript-runtime-bun-to-spread-nwhstealer
Diskusi (0)
Belum ada komentar
Jadilah yang pertama memulai diskusi!