Backdoor Tersembunyi dalam Penawaran Kerja LinkedIn
Judul asli: A backdoor in a LinkedIn job offer
Mengapa Ini Penting
Serangan rantai pasokan supply chain yang canggih menargetkan developer melalui LinkedIn menggunakan identitas palsu dan payload tersembunyi yang mengakses kontrol remote.
Seorang pengembang Python menerima pesan LinkedIn dari recruiter crypto startup yang mengirimkan repositori GitHub berisi backdoor. Backdoor aktif saat npm install, mengeksekusi payload yang mengunduh perintah dari server eksternal tanpa izin pengguna.
Pengembang Roman Imankulov menerima pesan LinkedIn dari recruiter yang mengklaim bekerja di startup crypto kecil. Recruiter mengirimkan repositori GitHub publik dan meminta review terhadap "deprecated Node modules issue". Alih-alih langsung menginstal, Imankulov membuat VPS throwaway di Hetzner dan menjalankan analisis read-only menggunakan tool Pi. Analisis segera menemukan backdoor di file app/test/index.js sekitar 250 baris kode yang menyamar sebagai test suite. Backdoor merangkai URL dari fragmen kode (https://rest-icon-handler.store/icons/77) dan menjalankan payload yang bersembunyi di antara test yang di-comment-out. Payload pada baris 225 mengeksekusi perintah apapun yang dikirim server kembali ke mesin pengguna. Backdoor terpicu otomatis karena app/index.js memerlukan app/test/index.js, dan package.json mengeksekusi app/index.js melalui script prepare yang berjalan otomatis setelah npm install. Seluruh commit history 39 commit menggunakan identitas developer asli yang memiliki profil LinkedIn, website pribadi, dan GitHub dengan riwayat panjang. Ketika dihubungi, developer asli mengonfirmasi tidak pernah bekerja untuk startup tersebut dan pernah mengalami impersonasi GitHub sebelumnya. Recruiter ternyata adalah jurnalis seni terkenal tanpa latar belakang teknis, yang tiba-tiba menjadi ahli npm dan Node versions saat Imankulov mengatakan tidak bisa menginstal proyek.