Dari PyPI ke Pasar Gelap: Bagaimana Paket Berbahaya Menyebabkan Penjualan Identitas Telegram

Pada April 2025, para peneliti keamanan dari Imperva, Sarit Yerushalmi dan Liran Lavi, mengungkap kampanye malware yang mengeksploitasi ekosistem Python Package Index (PyPI) untuk mencuri identitas pengguna Telegram. Paket berbahaya ini dirancang untuk menargetkan pengguna Telegram Desktop dengan mencuri folder ‘tdata’ yang berisi informasi sesi penting.

Apa itu Folder ‘tdata’?

Setiap kali Telegram Desktop dijalankan, ia membuat folder ‘tdata’ yang menyimpan:

• Token Otentikasi: Kredensial yang memungkinkan pengguna tetap masuk tanpa memasukkan ulang kata sandi.
• Data Sesi: Informasi yang diperlukan untuk mempertahankan status masuk pengguna.
• Preferensi Pengguna dan Data Cache: Detail yang mempersonalisasi pengalaman pengguna di platform.

Token sesi Telegram Desktop tidak memiliki tanggal kedaluwarsa yang ditetapkan, menjadikannya target berharga bagi penyerang karena memungkinkan akses tanpa batas waktu ke akun korban.

Bagaimana Pembajakan Sesi Bekerja

Penyerang dapat:

1. Mencuri Folder: Kode berbahaya secara otomatis menemukan, mengompres, dan mengekstrak folder ‘tdata’ tanpa sepengetahuan pengguna.
2. Menduplikasi Sesi: Dengan folder tersebut, penyerang menginstal Telegram Desktop di perangkat mereka dan mengganti folder ‘tdata’ dengan salinan yang dicuri.
3. Akses Instan: Setelah aplikasi dimulai, ia membaca data sesi dan masuk ke akun korban seolah-olah penyerang adalah pengguna asli.

Karena proses ini tidak memerlukan login tradisional, sesi yang dibajak tidak muncul sebagai “sesi baru” dalam daftar perangkat yang terhubung, membuatnya sulit dideteksi.

Keuntungan bagi Penyerang

Dengan akses ke folder ‘tdata’, penyerang dapat:

• Melihat Semua Kontak: Mengakses setiap percakapan, grup, dan saluran yang diikuti korban.
• Membaca dan Mengirim Pesan: Menyamar sebagai korban untuk membaca pesan pribadi dan mengirim pesan baru.
• Mengakses Data Pribadi: Melihat detail pribadi, foto, dan file cache yang disimpan dalam akun Telegram korban.
• Mengontrol Akun: Mengubah pengaturan akun, bergabung atau keluar dari grup, dan melakukan tindakan lain seolah-olah mereka adalah korban.
• Mengakses Mata Uang Digital (Stars): Mengeksploitasi saldo mata uang dalam aplikasi untuk transaksi tidak sah atau tujuan jahat lainnya.

Pada dasarnya, mencuri folder ‘tdata’ berarti mencuri seluruh identitas digital pengguna di Telegram.

Dari PyPI ke Pasar Gelap

Paket berbahaya ini diunggah ke PyPI, repositori resmi untuk paket Python, dan menyamar sebagai paket yang sah. Setelah diinstal oleh pengguna yang tidak curiga, paket ini menjalankan kode untuk mencuri folder ‘tdata’. Data yang dicuri kemudian dijual di pasar gelap, memungkinkan penyerang lain untuk membeli akses ke akun Telegram yang dibajak.

Langkah Pencegahan

Untuk melindungi diri dari ancaman ini:

• Waspadai Paket Python: Hindari menginstal paket dari sumber yang tidak dikenal atau mencurigakan.
• Periksa Aktivitas Akun: Pantau aktivitas akun Telegram Anda untuk mendeteksi akses yang tidak sah.
• Gunakan Autentikasi Dua Faktor: Aktifkan 2FA untuk menambahkan lapisan keamanan tambahan.
• Perbarui Perangkat Lunak Secara Teratur: Pastikan semua perangkat lunak, termasuk Telegram Desktop, diperbarui ke versi terbaru.

Tabel Pendukung: Rangkuman Ancaman dan Tindakan Pencegahan

Dengan meningkatnya ancaman dari paket berbahaya di ekosistem open-source, penting bagi pengguna dan pengembang untuk tetap waspada dan mengambil langkah-langkah proaktif untuk melindungi identitas digital mereka.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan imperva indonesia, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi imperva.ilogoindonesia.id untuk informasi lebih lanjut!