Initializing
Siber.Web.ID
MENU_SYSTEM
Security Insights

SmartLoader-StealC Incar Developer Lewat 109 Repositori GitHub Palsu

I
Online
β€’

Tim peneliti dari HexaStrike Cybersecurity mengungkap kampanye distribusi malware skala besar yang memanfaatkan 109 repositori GitHub palsu untuk menyebarkan SmartLoader dan StealC. Kampanye ini telah aktif setidaknya sejak awal Februari 2026 dan menargetkan para developer yang tidak curiga saat mencari proyek open-source populer.

Infografik SmartLoader-StealC Incar Developer Lewat 109 Repositori GitH


Executive Summary

Pada 18 April 2026, HexaStrike merilis laporan investigasi mendetail setelah menemukan bahwa proyek open-source mereka, PyrsistenceSniper, telah diimpersonasi di GitHub. Dari penelusuran itu, mereka menemukan 109 repositori jahat yang tersebar di 103 akun GitHub berbeda.

Repositori palsu ini mengkloning proyek open-source asli, memodifikasi README, dan menyematkan tautan unduhan ke file ZIP berisi SmartLoader, sebuah loader berbasis LuaJIT yang diobfuskasi dengan Prometheus. SmartLoader kemudian mengunduh dan menjalankan StealC, information stealer yang mencuri kredensial browser, kata sandi, dan dompet kripto korban.

πŸ”΄ Tingkat Ancaman: Tinggi

Kampanye ini masih aktif hingga pertengahan April 2026. Repositori baru terus bermunculan. Developer yang sering mengunduh proyek dari GitHub berada dalam risiko tinggi terkena infeksi SmartLoader dan StealC.


Bagaimana Repositori Palsu Bekerja

Pelaku mengidentifikasi proyek open-source yang mulai populer, lalu mengkloning repositori tersebut ke akun GitHub palsu. Kode sumber asli sebagian besar dibiarkan utuh agar repositori terlihat sahih. Namun, file README dimodifikasi secara sistematis.

Konten teknis seperti petunjuk instalasi, prasyarat, dan catatan kontribusi dihapus. Sebagai gantinya, pelaku menyisipkan tombol unduhan mencolok menggunakan shields.io badges dan tautan langsung berwarna. Semua tautan mengarah ke satu file ZIP yang dikubur jauh di dalam struktur direktori repositori.

β€œThe source code is usually left mostly intact. That is what makes the lure work. At a glance, the repository still looks legitimate. The actor changes only the parts that influence user behavior: the README, the repository metadata, and the embedded archive.”

– Maurice Fielenbach, HexaStrike Cybersecurity

Pelaku juga memodifikasi deskripsi repositori dan topik (topics). Dalam beberapa kasus, istilah SEO yang tidak terkait ditambahkan untuk meningkatkan visibilitas di hasil pencarian. File ZIP ditempatkan di jalur yang dalam seperti repo/some/deep/path/project-name-version.zip, menyamar sebagai artefak rilis biasa.

Tanda tangan operasional yang konsisten menunjukkan kampanye ini dijalankan oleh satu aktor atau cluster yang terkoordinasi ketat. Repositori dari berbagai akun diperbarui secara bersamaan saat tautan unduhan diputar ke file ZIP baru. Tata letak arsip, struktur README, pola staging, dan keluarga malware tetap stabil sepanjang kampanye.


Rantai Infeksi Teknis

Struktur File ZIP

Setiap repositori palsu berisi satu file ZIP dengan tiga atau empat komponen:

  • Batch launcher – File batch satu baris: start
  • LuaJIT executable – LuaJIT 2.1.0-beta3, dikompilasi sebagai PE64 GUI (subsystem GUI agar tidak muncul jendela konsol)
  • Optional lua51.dll – Untuk varian empat file yang memuat Lua runtime secara dinamis
  • Lua script terobfuskasi – File .txt atau .log berisi skrip Lua yang diobfuskasi dengan Prometheus, ukuran 296 KB hingga 309 KB

Nama executable bervariasi antar varian: loader.exe, unit.exe, boot.exe, atau java.exe. Timestamp ZIP berkisar dari 19 Februari 2026 hingga 5 April 2026, mengonfirmasi durasi kampanye setidaknya 7 minggu.

Eksekusi SmartLoader

Saat korban mengekstrak dan menjalankan file batch, terjadi rantai eksekusi berikut:

  1. Batch launcher menjalankan LuaJIT dengan skrip Lua terobfuskasi sebagai argumen
  2. LuaJIT memuat skrip yang menggunakan Foreign Function Interface (FFI) untuk memanggil Windows API langsung dari Lua
  3. SmartLoader menyembunyikan jendela konsol melalui GetConsoleWindow dan ShowWindow(SW_HIDE)
  4. Melakukan anti-debug check menggunakan native shellcode yang disalin ke memori yang dapat dieksekusi
  5. Meresolve alamat C2 (Command & Control) melalui smart contract Polygon, memungkinkan operator memutar infrastruktur tanpa memuat ulang loader
  6. Mengunduh skrip Lua tahap kedua dari repositori GitHub terpisah dalam kampanye yang sama
  7. Melakukan fingerprinting sistem dan mengambil tangkapan layar melalui GDI pipeline
  8. Mengeksfiltrasi data ke server C2 bare-IP melalui multipart POST
  9. Menerima instruksi terenkripsi dari server, termasuk kemampuan memuat PE payload langsung di memori

Deklarasi FFI dalam SmartLoader juga mencakup struktur parsing PE header dan ekspor serta primitif pembuatan thread, memungkinkan in-memory PE loading. Dalam sampel yang dianalisis, repositori staging yang sama juga menyimpan payload StealC terenkripsi.

Persistence

SmartLoader membangun persistensi melalui dua scheduled task dengan jalur pemulihan terpisah. Satu tugas mengeksekusi salinan lokal yang di-cache. Tugas lainnya mengunduh ulang skrip Lua baru dari GitHub. Desain ini memastikan malware tetap bertahan meskipun salah satu jalur pemulihan dibersihkan.

⚠️ Fakta Kunci

SmartLoader menggunakan teknologi yang tidak biasa: C2-nya di-resolve melalui smart contract di blockchain Polygon. Ini berarti operator bisa mengganti alamat server kapan saja tanpa perlu memperbarui setiap sampel malware yang tersebar di ribuan repositori.


Hubungan dengan Kampanye Lain

SmartLoader bukan aktor baru. Malpedia (database malware Fraunhofer FKIE) mencatat aktivitas SmartLoader sejak Maret 2024, saat pertama kali diidentifikasi oleh OALabs. Sejak itu, kampanye serupa telah dilaporkan oleh Trend Micro (Maret 2025) dan AhnLab (Agustus 2025).

Pada Februari 2026, Straiker.ai mengungkap SmartLoader mengkloning Oura Ring MCP Server untuk menyerang ekosistem Model Context Protocol (MCP). Dalam varian itu, pelaku membuat setidaknya 5 akun GitHub palsu, menambahkan kontributor palsu untuk membangun kredibilitas, dan berhasil menyusupi registry MCP yang sah.

Kampanye ini tidak berdiri sendiri. Ancaman terhadap ekosistem pengembangan semakin meningkat secara umum:

Kampanye Tanggal Skala Vektor
SmartLoader-StealC (HexaStrike) April 2026 109 repositori, 103 akun Clone repositori + ZIP palsu
Megalodon (SafeDep) Mei 2026 5.500 repositori terinfeksi GitHub Actions tampering
Miasma (Microsoft) Juni 2026 73 repositori Microsoft Injeksi kode pencuri data
SmartLoader MCP (Straiker) Februari 2026 Target ekosistem MCP Clone MCP Server palsu

Dampak bagi Developer dan Perusahaan

Developer adalah target utama karena akses mereka ke sistem kredensial yang bernilai tinggi. Satu komputer developer yang terinfeksi bisa membuka akses ke:

  • Kredensial cloud dan infrastruktur – AWS, GCP, Azure API keys, token CI/CD
  • Source code proprietary – Kode bisnis, algoritma, rahasia dagang
  • Akses production environment – VPN, SSH keys, database credentials
  • Dompet kripto – StealC dirancang khusus untuk mencuri data dompet kripto

Yang lebih berbahaya: karena pelaku meng-clone repositori asli, korban bisa tidak sadar bahwa mereka telah mengunduh malware bahkan setelah beberapa minggu. Repositori palsu tetap muncul di hasil pencarian GitHub berdampingan dengan proyek asli.


Langkah Mitigasi untuk Developer

Berikut langkah-langkah praktis yang bisa diambil developer dan tim keamanan untuk mengurangi risiko:

  1. Verifikasi akun dan reputasi – Sebelum mengunduh repositori, periksa profil akun. Akun yang baru dibuat dengan sedikit kontribusi atau aktivitas yang mencurigakan perlu diwaspadai.
  2. Periksa README secara kritis – README yang hanya berisi tombol unduhan tanpa dokumentasi teknis adalah tanda bahaya. Bandingkan dengan repositori asli.
  3. Scan file ZIP sebelum diekstrak – Gunakan antivirus atau alat analisis statis sebelum membuka file arsip dari repositori yang tidak dikenal.
  4. Gunakan alat deteksi – Alat seperti git-malware-finder di GitHub bisa membantu mendeteksi repositori mencurigakan secara otomatis.
  5. Batasi hak akses development environment – Jangan jalankan kode dari sumber tidak dikenal di mesin yang memiliki akses ke produksi atau kredensial sensitif.
  6. Pantau scheduled tasks – SmartLoader membuat dua scheduled task. Pantau secara rutin task scheduler di Windows untuk aktivitas mencurigakan.
  7. Aktifkan GitHub security features – GitHub Secret Scanning, Dependabot, dan Code Scanning bisa membantu mendeteksi anomali.

Konteks Indonesia

Ekosistem developer Indonesia tidak kebal terhadap ancaman ini. Dengan pertumbuhan pesat komunitas open-source dan startup teknologi di Indonesia, developer lokal perlu waspada terhadap repositori-repositori GitHub yang mencurigakan. Serangan rantai pasokan seperti SmartLoader menunjukkan bahwa siapa pun yang mengunduh dan menggunakan kode dari GitHub berpotensi menjadi korban, tanpa memandang lokasi geografis.

Praktik terbaik verifikasi kode dan sumber sebelum eksekusi harus menjadi kebiasaan, terutama di lingkungan perusahaan yang menangani data sensitif.

Kampanye SmartLoader mengonfirmasi satu hal: GitHub sebagai platform pengembangan terbesar di dunia telah menjadi medan pertempuran utama dalam rantai pasokan perangkat lunak. 109 repositori palsu mungkin masih kecil dibandingkan 100 juta repositori di GitHub, tapi pola serangan ini menunjukkan bahwa aktor ancaman semakin sabar, metodis, dan canggih dalam menyusup ke ekosistem developer global.

Kesimpulan

Baca Juga

Bagikan Artikel
Security Tools