Apa yang terjadi
Pusat Keamanan Siber Nasional Inggris menerbitkan posting blog teknis pada 4 Juni 2026 berjudul 'Serangan rantai pasokan perangkat lunak: periksa dependensi Anda,' mendokumentasikan bagaimana penyerang mengompromi paket npm dan PyPI dalam skala besar, merujuk pada serangan rantai pasokan Mini Shai-hulud Mei 2026 yang mempengaruhi beberapa proyek NHS. Panduan ini mencakup empat teknik penyerang — kompromi akun pemelihara, pengambilalihan paket yang ditinggalkan, typosquatting, dan penyebaran mandiri — dan menyediakan proses langkah demi langkah bagi organisasi untuk mengaudit dependensi, memantau perilaku pipeline CI/CD, memeriksa akun pengembang dan registri, serta memindai paket berbahaya yang diketahui.
Mengapa penting
Python dan Node.js adalah bahasa dominan dalam pipeline AI/ML dan kerangka kerja orkestrasi AI agen, menjadikan kompromi manajer paket sumber terbuka vektor serangan rantai pasokan AI langsung. Publikasi Tier 1 NCSC dari panduan ini — merujuk pada serangan Inggris 2026 aktif — meningkatkan hal ini dari kesadaran latar belakang menjadi penasihat ancaman operasional saat ini. Pipeline CI/CD yang secara otomatis menginstal dan memperbarui perpustakaan AI (LangChain, vLLM, dataset Hugging Face, LlamaIndex) terbuka terhadap mekanisme penyebaran mandiri yang sama seperti yang dijelaskan.
Tindakan yang diperlukan
Tim Keamanan dan ML Engineering harus segera menjalankan proses audit yang direkomendasikan NCSC terhadap pohon dependensi Python dan Node.js mereka, dengan prioritas pada perpustakaan AI/ML yang diinstal secara otomatis melalui CI/CD. Terapkan MFA pada semua akun pemelihara registri paket dan implementasikan tagihan materi perangkat lunak (SBOM) untuk semua penyajian model AI dan penyebaran orkestrasi agen.