iconASIKIN

Serangan Supply Chain TanStack Guncang Ekosistem npm, Puluhan Paket Disusupi Malware

by El - 20 Mei 2026https://kqiyzwsbtyulwzyudyvj.supabase.co/storage/v1/object/public/banners/banners/Screenshot%202026-05-20%20143950.png

Welcome XELAM - Ekosistem JavaScript kembali diguncang serangan supply chain besar. Kali ini, proyek populer TanStack menjadi target utama dalam serangan yang disebut sebagai salah satu kompromi npm paling serius tahun 2026.

Menurut laporan InfoQ, sebanyak 42 paket TanStack berhasil disusupi dan 84 versi berbahaya dipublikasikan hanya dalam waktu sekitar enam menit. Serangan ini tidak hanya menargetkan developer biasa, tetapi juga CI/CD pipeline, cloud credential, hingga sistem publishing otomatis.

Apa Itu Serangan Supply Chain?

Supply chain attack adalah jenis serangan siber yang menyerang rantai distribusi software, bukan langsung menyerang pengguna akhir. Dalam kasus npm atau PyPI, hacker menyisipkan malware ke dalam package populer agar otomatis ikut terpasang ketika developer melakukan install dependency.

Karena package seperti TanStack dipakai jutaan developer di seluruh dunia, dampaknya bisa sangat luas.

Bagaimana Serangan Ini Terjadi?

Berdasarkan postmortem resmi TanStack, serangan dimulai dari eksploitasi GitHub Actions dan sistem cache CI/CD. Hacker membuat pull request palsu ke repository TanStack lalu memanfaatkan workflow pull_request_target untuk menjalankan kode berbahaya di environment CI.

Malware kemudian:

  • mencuri token dan credential developer
  • mengambil cloud secret serta SSH key
  • menyebarkan diri ke package lain
  • menerbitkan versi package yang sudah terinfeksi malware secara otomatis

Yang membuat kasus ini semakin berbahaya adalah malware mampu menggunakan token OIDC GitHub Actions tanpa perlu mencuri password npm maintainer secara langsung.

Disebut “Mini Shai-Hulud”

Komunitas keamanan menamai serangan ini “Mini Shai-Hulud”, terinspirasi dari makhluk cacing raksasa dalam novel Dune.

Nama tersebut dipakai karena malware memiliki kemampuan seperti worm:

  • menyebar otomatis ke package lain
  • mencari akun maintainer tambahan
  • menginfeksi dependency baru secara mandiri

Beberapa laporan menyebut serangan ini juga menyerang proyek lain seperti:

  • Mistral AI
  • UiPath
  • OpenSearch
  • beberapa package AI dan cloud tooling populer

OpenAI Juga Terdampak

Yang cukup mengejutkan, OpenAI mengonfirmasi bahwa dua perangkat internal karyawan mereka ikut terdampak akibat package TanStack yang terinfeksi.

Namun OpenAI menegaskan:

  • tidak ada data pengguna yang bocor
  • sistem produksi tetap aman
  • tidak ada model AI atau intellectual property yang dicuri

Sebagai langkah mitigasi, OpenAI langsung:

  • mencabut credential yang berpotensi bocor
  • memutar ulang signing certificate
  • membatasi sementara deployment internal
  • melakukan investigasi forensik pihak ketiga

Kenapa Kasus Ini Sangat Berbahaya?

Serangan ini dianggap sangat serius karena menargetkan fondasi modern software development.

Saat ini hampir semua aplikasi menggunakan dependency pihak ketiga. Satu package populer yang terinfeksi bisa berdampak ke ribuan bahkan jutaan aplikasi lain.

Security researcher menyebut kasus TanStack memperlihatkan bahwa:

  • CI/CD kini menjadi target utama hacker
  • GitHub Actions bisa menjadi titik lemah
  • ecosystem open-source semakin rentan terhadap serangan otomatis

Apa yang Harus Developer Lakukan?

Beberapa langkah yang direkomendasikan komunitas keamanan:

  • segera update package TanStack ke versi aman
  • rotate semua credential dan token penting
  • audit dependency project
  • hindari menjalankan install package tanpa verifikasi
  • aktifkan proteksi tambahan pada GitHub Actions dan CI/CD pipeline

Developer juga disarankan menggunakan lockfile verification dan software provenance untuk memastikan package benar-benar berasal dari sumber resmi.

Ancaman Supply Chain Semakin Besar

Kasus TanStack menunjukkan bahwa serangan supply chain kini berkembang jauh lebih canggih dibanding beberapa tahun lalu.

Hacker tidak lagi hanya menyisipkan malware sederhana, tetapi mulai:

  • memanfaatkan otomatisasi CI/CD
  • mencuri token cloud
  • menyerang AI ecosystem
  • menyebarkan malware lintas package manager

Dengan semakin besarnya ketergantungan dunia teknologi terhadap open-source, keamanan dependency kini menjadi salah satu tantangan terbesar industri software modern.