Pernah terpikir bahwa teknologi canggih yang mempermudah web developer bisa berbalik menjadi senjata mematikan bagi privasi data Anda? Simak bagaimana runtime JavaScript masa depan kini disalahgunakan untuk menyembunyikan malware berbahaya.
Dunia keamanan siber kembali diguncang dengan taktik baru yang digunakan oleh pembuat malware. Menurut laporan riset terbaru dari Malwarebytes, para penyerang kini memanfaatkan Bun—sebuah JavaScript runtime modern yang dikenal sangat cepat—sebagai kendaraan utama untuk menyebarkan NWHStealer. Mengapa mereka memilih Bun? Karena teknologi ini tergolong baru dan belum banyak dilihat dalam kampanye malware sebelumnya, sehingga memungkinkan pelaku untuk membungkus kode jahat ke dalam executable yang terlihat sah dan sulit dideteksi oleh perangkat lunak antivirus tradisional.
Mengenal NWHStealer yang Berbahaya
NWHStealer sendiri bukanlah pemain baru, namun kemampuannya untuk beradaptasi sangat mengkhawatirkan. Malware berbasis Rust ini mampu melakukan berbagai tindakan destruktif, mulai dari mencuri data sensitif seperti password browser, informasi crypto wallet, hingga data dari aplikasi pesan seperti Discord dan Steam. Tidak berhenti di situ, malware ini juga bisa menyusupkan beban tambahan seperti XMRig untuk menambang kripto tanpa sepengetahuan pengguna dan menjaga persistensinya di dalam sistem melalui scheduled tasks.
Strategi Penyebaran yang Cerdik
Bagaimana malware ini bisa sampai ke komputer kamu? Para pelaku menggunakan umpan berupa modding game, cheat, atau perangkat lunak aktivasi palsu yang diunggah di situs-situs terpercaya seperti GitHub, GitLab, MediaFire, Itch.io, dan SourceForge. Dengan menggunakan nama file yang menggoda seperti FiveM Mod.zip atau Autodesk.zip, mereka berharap pengguna lengah dan langsung mengunduh file tersebut. Saat dijalankan, skrip berbahaya yang tertanam dalam runtime Bun akan memindai apakah sistem tersebut adalah virtual machine atau komputer asli sebelum melanjutkan aksinya.
Mekanisme Pertahanan yang Diterobos
Malware ini sangat protektif terhadap dirinya sendiri. Ia menjalankan serangkaian perintah PowerShell untuk memeriksa apakah ia sedang berjalan di lingkungan sandbox atau analisis keamanan. Jika terdeteksi berada di dalam lingkungan aman tersebut, ia akan otomatis berhenti untuk menghindari deteksi. Berikut adalah beberapa hal yang dilakukan loader malware tersebut sebelum menginfeksi sistem:
- Melakukan pengecekan perangkat keras (CPU, RAM, Disk).
- Mencari keberadaan folder yang mencurigakan (seperti browser folders).
- Menghitung jumlah proses yang sedang berjalan.
- Menggunakan enkripsi XOR dan base64 untuk menyembunyikan konfigurasi C2 (Command-and-Control).
Cara Melindungi Diri
Kunci utama untuk tetap aman adalah kewaspadaan tinggi saat mengunduh file dari internet. Jangan pernah mengunduh perangkat lunak dari sumber yang tidak resmi, dan selalu periksa reputasi pengunggah jika Anda menggunakan platform seperti GitHub atau SourceForge. Selalu pastikan untuk memeriksa tanda tangan digital (signature) dari file .exe yang akan dijalankan. Baca selengkapnya di sini untuk detail teknis lebih lanjut mengenai indikator kompromi (IOCs) yang perlu diwaspadai.
"Keamanan siber bukanlah tentang menggunakan satu alat saja, melainkan tentang kewaspadaan kolektif dan praktik terbaik saat berselancar di dunia maya." - Gabriele, Malware Research Engineer.","cta:
Sumber berita https://www.malwarebytes.com/blog/threat-intel/2026/05/attackers-adopt-javascript-runtime-bun-to-spread-nwhstealer
Diskusi (0)
Belum ada komentar
Jadilah yang pertama memulai diskusi!