Alat yang seharusnya mengamankan kode kini berbalik menyerang pembuatnya. Kelompok peretas bernama TeamPCP berhasil menyusup ke dalam GitHub Actions milik proyek open source populer, termasuk perangkat pemindai keamanan Trivy dan Checkmarx. Tujuan utama mereka bukan sekadar mencuri data, melainkan menyebarkan worm mematikan bernama CanisterWorm langsung ke jantung infrastruktur pengembangan perangkat lunak.
Serangan rantai pasok (supply chain attack) ini sangat terstruktur. Peretas tidak langsung menyerang server produksi perusahaan, melainkan menyisipkan kode berbahaya ke lingkungan Continuous Integration/Continuous Deployment (CI/CD). Begitu pengembang menjalankan proses build rutin mereka, malware otomatis terunduh dan dieksekusi dengan hak akses istimewa.
TeamPCP sendiri adalah kelompok peretas yang relatif baru, pertama kali terpantau pada akhir 2025. Namun, mereka langsung menunjukkan pemahaman mendalam tentang celah ekosistem cloud-native. Membajak GitHub Actions milik Trivy—alat yang dirancang khusus untuk memindai kerentanan di dalam image container—adalah taktik yang ironis dan efektif. Pengembang yang percaya penuh pada alat ini justru tanpa sadar memasukkan kode peretas ke dalam sistem mereka sendiri.
Eskalasi Serangan CanisterWorm
Kemunculan Perdana
TeamPCP pertama kali terdeteksi menargetkan platform berbasis cloud.
Infiltrasi GitHub Actions
Serangan rantai pasok menghantam pemindai keamanan via GitHub Actions.
Penyebaran npm
Malware berekspansi ke lebih dari 64 paket npm yang berbeda.
Wiper Ditemukan
Peneliti mendokumentasikan muatan 'kamikaze' yang menargetkan sistem Iran.
Logika Target Berbasis Geopolitik
Bagian paling menonjol dari CanisterWorm adalah logika operasionalnya yang membedakan target berdasarkan geografi. Saat menginfeksi sebuah mesin baru, malware ini langsung memeriksa pengaturan zona waktu dan bahasa bawaan sistem operasi.
Jika sistem menggunakan bahasa Farsi atau terdeteksi berada di zona waktu Iran, malware berubah wujud menjadi program penghancur (wiper) yang dijuluki “kamikaze”. Efek kerusakannya dirancang sangat fatal, terutama jika infeksi terjadi di dalam lingkungan Kubernetes (K8s).
Di dalam klaster K8s, wiper ini tidak menghapus data satu per satu seperti skrip konvensional. Ia akan menyebarkan DaemonSet—sebuah metode pengelolaan pod dalam Kubernetes—dengan hak akses penuh (privileged). DaemonSet tersebut kemudian mengambil alih sistem file root milik host dan menghapus seluruh data di setiap node yang terhubung tanpa sisa.
Namun, jika mesin berada di luar Iran, CanisterWorm bergerak senyap. Ia tidak menghancurkan data, melainkan beralih fungsi menjadi pencuri kredensial dan backdoor. Modus operandi ganda ini memastikan penyebaran infeksi global tetap tidak terdeteksi sambil menjalankan sabotase utamanya di Timur Tengah.
Skala Infeksi npm
Per 21 Maret 2026, lebih dari 135 artefak berbahaya telah disisipkan ke dalam 64+ paket npm, termasuk repositori milik @emilgroup dan @teale.io.
Replikasi Otonom dan Infrastruktur Anti-Blokir
Sebagai sebuah worm, CanisterWorm dirancang untuk mencari mangsa secara otomatis. Begitu masuk ke sistem pengembang, skrip berbahaya akan memindai jaringan lokal secara langsung. Target utamanya adalah port API Docker yang tidak diamankan (port 2375), klaster K8s, serta server Redis yang terpapar ke internet publik.
Port 2375 pada lingkungan Docker sering kali dibiarkan terbuka di jaringan internal untuk mempermudah otomatisasi deployment. Miskonfigurasi klasik ini langsung dieksploitasi oleh malware untuk meluncurkan container baru dengan hak akses tinggi tanpa memerlukan proses autentikasi.
Profil Teknis CanisterWorm
Kategori Utama | Supply Chain Worm / Wiper |
Target Operasi | Linux, Docker, Kubernetes |
Metode C2 | ICP Canister (Smart Contract) |
Jalur Replikasi | Docker API (2375), SSH, K8s |
Selain kemampuan menyalin diri, TeamPCP menggunakan pendekatan arsitektur komando dan kontrol (C2) yang sangat tahan banting. Alih-alih menyewa server terpusat atau domain tradisional, operasi C2 mereka berjalan di atas canister (kontrak pintar) pada jaringan Internet Computer Protocol (ICP).
Sistem desentralisasi ini membuat komunikasi antara peretas dan mesin yang terinfeksi hampir mustahil untuk diputus oleh penyedia layanan internet maupun lembaga penegak hukum. Peneliti keamanan dari Aikido mencatat bahwa jika fungsi backdoor ICP ini berjalan penuh, setiap perangkat lunak yang dirilis oleh developer terinfeksi akan otomatis menjadi inang penyebaran infeksi baru.
Untuk memastikan koneksi tetap terjalin pasca-infeksi, malware menanamkan mekanisme persistence di sistem Linux. Ia menyembunyikan konfigurasi di direktori sementara seperti /tmp/.pg_state atau /tmp/pglog. Malware kemudian membuat service systemd palsu yang dinamai internal-monitor atau menyamar sebagai utilitas PostgreSQL (pgmon). Taktik ini mengelabui administrator server yang memeriksa daftar proses berjalan.
Dampak Langsung bagi Ekosistem Lokal
Meskipun fitur penghancur data milik CanisterWorm hanya aktif pada server yang berlokasi di Iran, hal ini bukan jaminan keselamatan bagi pengembang dan software house di Indonesia.
Banyak perusahaan teknologi lokal dan korporasi di Indonesia yang menggunakan kerangka kerja Trivy dan Checkmarx sebagai standar keamanan alur kerja mereka. Karena sifat malware ini yang mencari celah otomatis untuk bersembunyi, server perusahaan lokal yang terekspos bisa beralih fungsi menjadi inang penyebaran botnet tanpa sepengetahuan tim TI.
Kerugian utamanya bukan pada hancurnya database, melainkan pencurian kredensial. Kunci rahasia (secrets) CI/CD, token akses, dan kunci SSH yang tersimpan di lingkungan pengembangan akan dikirimkan langsung ke jaringan peretas. Data kredensial yang bocor inilah yang nantinya disalahgunakan untuk menembus jaringan inti perusahaan.
Serangan CanisterWorm memvalidasi bahwa alat pertahanan siber di tingkat pengembangan tidak imun terhadap eksploitasi. Administrator sistem kini diwajibkan untuk mengaudit konfigurasi API Docker internal mereka dan segera merotasi seluruh kredensial CI/CD yang mungkin telah bocor akibat rantai pasok alat open source ini. Mengabaikan rotasi kunci sama saja membiarkan infrastruktur perusahaan terbuka untuk disusupi kapan saja.