Apa yang terjadi
Pusat Keamanan Siber Nasional Inggris menerbitkan posting blog teknis pada 4 Juni 2026 berjudul 'Software supply chain attacks: check your dependencies,' mendokumentasikan bagaimana penyerang mengompromikan paket npm dan PyPI dalam skala besar, merujuk pada serangan rantai pasokan Mini Shai-hulud Mei 2026 yang mempengaruhi beberapa proyek NHS. Panduan mencakup empat teknik penyerang — kompromi akun pengelola, pengambilalihan paket yang ditinggalkan, typosquatting, dan self-propagation — dan menyediakan proses langkah demi langkah bagi organisasi untuk mengaudit dependensi, memantau perilaku saluran CI/CD, memeriksa akun pengembang dan registri, serta memindai paket berbahaya yang diketahui.
Mengapa penting
Python dan Node.js adalah bahasa dominan dalam saluran AI/ML dan kerangka kerja orkestrasi AI agentic, membuat kompromi package manager sumber terbuka menjadi vektor serangan rantai pasokan AI langsung. Publikasi Tier 1 NCSC dari panduan ini — merujuk pada serangan Inggris 2026 yang aktif — meningkatkan ini dari kesadaran latar belakang menjadi penasihat ancaman operasional saat ini. Saluran CI/CD yang secara otomatis menginstal dan memperbarui pustaka AI (LangChain, vLLM, Hugging Face datasets, LlamaIndex) terekspos terhadap mekanisme self-propagation yang tepat seperti yang dijelaskan.
Tindakan yang diperlukan
Tim keamanan dan rekayasa ML harus segera menjalankan proses audit yang direkomendasikan NCSC terhadap pohon dependensi Python dan Node.js mereka, dengan prioritas pada pustaka AI/ML yang diinstal secara otomatis melalui CI/CD. Terapkan MFA pada semua akun pengelola registri paket dan implementasikan daftar bahan perangkat lunak (SBOM) untuk semua penerapan model-serving AI dan orkestrasi agen.