GlassWorm Attack: Ratusan Repo Python Kena ‘Force-Push’ Malware Lewat Token GitHub!

Bro, ada berita keamanan yang serius nih! Namanya GlassWorm Attack – sebuah kampanye malware yang lagi heboh menyerang ekosistem Python. Serangan ini punya teknik yang cukup licik: Pakai token GitHub yang dicuri buat force-push malware ke ratusan repository! Yuk, kita bedah bareng-bareng!

Apa Itu GlassWorm Attack?

GlassWorm Attack ini adalah serangan supply chain yang targeting-nya ekosistem Python, bro. Dari Django apps, machine learning research code, Streamlit dashboards, sampai PyPI packages – semua jadi target. Serangan ini pertama kali muncul pasca-injeksi malware tanggal 8 Maret 2026, dan masih aktif bro! Terus bertambah terus nih repo yang jadi korban.

Inti dari serangan ini tuh sederhana tapi bahaya: Attacker masuk ke akun developer GitHub, terus push kode jahat ke repo mereka dengan cara yang hampir tidak terdeteksi. Gila kan?

Kampanye GlassWorm ini sebenernya sudah berjalan sejak Oktober 2025, bro. Awalnya, malware ini menyebar lewat ekstensi VS Code dan Cursor di marketplace OpenVSX dan Microsoft VSCode. Dari situ, malware bisa mencuri berbagai credentials dan spread ke sistem lain. Nah, sekarang tactics-nya berevolusi jadi yang lebih canggih: langsung ambil alih akun GitHub dan injection malware ke ratusan repo sekaligus.

Menurut laporan StepSecurity, sudah ratusan akun GitHub yang jadi korban dengan injeksi malware identik di setiap repo. Beberapa repo yang dikompromi bahkan punya 70+ stars – jadi impact-nya sangat luas bro. Siapa nih yang pernah install package dari repo belum jelas? Hati-hati ya!

Teknik ForceMemo: Bagaimana Serangan Ini Bekerja?

Nama tekniknya tuh ForceMemo, bro. Jadi gini cara kerja-nya:

• Langkah 1: Awalnya, attacker compromise sistem developer lewat ekstensi VS Code atau Cursor yang berisi malware GlassWorm. Malware ini punya fungsi khusus buat mencuri rahasia, termasuk token GitHub.
• Langkah 2: Setelah dapat token GitHub, attacker langsung login ke akun korban dan force-push perubahan malicious ke setiap repo yang dikelola akun tersebut.
• Langkah 3: Attacker rebased commit legitimate terakhir di branch default dengan kode obfuscated yang ditempelkan ke file Python kayak setup.py, main.py, atau app.py.
• Langkah 4: Force-push perubahan, tapi commit message, author, dan author date tetap dipertahankan dari commit asli. Jadi dari luar, kelihatannya nggak ada yang berubah!

Teknik ini yang bikin berbahaya – developer nggak akan sadar ada yang aneh unless mereka cek git log dengan detil.

Serangan ini termasuk smart karena mereka rebased commit terbaru dengan malware, tapi zach the original commit message dan author date tetap sama. Jadi kalau lo cuma lihat dari GitHub UI, semua terlihat normal-normal saja. Cuma ada satu clue kecil: committer date yang berubah. Tapi siapa sempat cek itu kan?

Malicious Code Injection dengan Unicode Invisible

Bro, yang lebih serem lagi nih: Kode malware yang disisipkan itu di-obfuscate pake karakter Unicode invisible! Jadi waktu code reviewer lihat, mereka nggak akan sadar ada kode asing di sana. Kode Base64-encoded ini ditempel di akhir file Python, dan punya fitur unik:

• Locale Check: Malware akan cek sistem locale. Kalau diset ke Russian, malware SKIP execute. Nahh, ini indikasi kuat bahwa attacker probably dari luar NATO/Rusia.
• Payload Extraction: Malware bakal query transaksi memo field dari alamat Solana blockchain khusus (BjVeAjPrSKFiingBn4vZvghsGj9KCE8AJVtbc9S8o8SC) buat extract URL payload.

URL ini nanti didownload dan execute – encrypt JavaScript yang tugasnya mencuri cryptocurrency dan data sensitif dari browser korban. Serem kan? Lo install package nggak sadar, eh tiba-tiba crypto wallet lo sudah dibobol.

Yang unik, malware ini juga punya fitur geo-blocking. Kalau sistem lo diset ke Russian locale, malware bakal skip execution. Ini menunjukkan attacker mungkin sengaja menghindari victim di wilayah tertentu – probably untuk mengurangi risiko perhatian dari otoritas.

C2 Infrastructure: Solana Blockchain + Google Calendar

Ini yang paling advanced bro! GlassWorm Attack pake infrastruktur Command-and-Control (C2) yang sangat resilient:

• Solana Blockchain: Payload URL disimpan di transaction memo field sebuah wallet Solana. Pertama kali ada transaksi di C2 address ini sejak 27 November 2025. Dengan cara ini, attacker bisa update payload kapan saja tanpa perlu managed server sendiri!
• Decentralized C2: Karena pakai blockchain, infrastruktur ini sangat sulit diambil offline. Tidak seperti server tradisional yang bisa di-shutdown, blockchain terus berjalan!

Metode ini menunjukkan attacker sangat sophisticated dan tau cara maksiminum persistence dengan memanfaatkan teknologi yang sebenernya legitimate.

Impact: Credential Theft, Crypto Draining, dan Remote Access

Dampak dari serangan ini sangat luas bro:

• Credential Theft: Malware ini mencuri NPM, GitHub, dan Git credentials dari sistem korban yang sudah ter-compromise sebelumnya.
• Crypto Wallet Draining: JS payload yang didownload bakal nyari dan kosongin semua cryptocurrency wallet di browser korban.
• SOCKS Proxy + VNC Server: Ada kemampuan lain nih: Installer SOCKS proxy server dan VNC server tersembunyi untuk remote access!

Dari data StepSecurity, sudah ratusan repo Python yang jadi korban dengan injeksi malware identik. Bahkan beberapa repo punya 70+ stars – jadi potential victim-nya itu banyak banget!

Cara Proteksi: Lindungi Diri Kamu!

Bro, ini penting banget! Berikut langkah-langkah yang bisa lo ambil:

• Aktifkan 2FA/MFA di akun GitHub lo – ini adalah garis pertahanan pertama!
• Review ekstensi VS Code/Cursor yang lo install. Jangan sembarang install dari sumber tidak resmi.
• Cek commit history secara berkala, terutama yang involve force-push.
• Jangan asal pip install dari random repo. Cek dulu reputasi dan maintainer-nya!
• Scan sistem lo dengan antivirus yang up-to-date. Siapa tahu sudah kejangkitan?

Lo juga bisa cek repository lo sendiri. Kalau ada yang mencurigakan di file setup.py, main.py, atau app.py, langsung isolate dan investigate bro!

Kesimpulan: GlassWorm Attack ini adalah contoh nyata evolving threat di software supply chain. Teknik force-push yang terlihat legal tapi sebenarnya malicious ini menunjukkan bahwa developer harus lebih vigilant terhadap setiap perubahan di repo mereka.

Jangan anggap remeh keamanan siber, bro! Satu token GitHub yang bocor bisa mengkompromi puluhan bahkan ratusan repository. Stay safe, stay alert!

Baca artikel menarik lainnya: Nvidia Rilis NemoClaw: OpenClaw Versi Sultan yang Keamanannya Nggak Kaleng-Kaleng

Sumber: The Hacker News, StepSecurity

Rekomendasi TN:

• Rekomendasi TN Antivirus PC
• Rekomendasi TN Webcam HD
• Rekomendasi TN External SSD