TEKNOLOGI, Perspektif.co.id — Firma keamanan siber SentinelOne pada Senin (19/5/2026) mengungkap varian baru malware pencuri data bernama SHub Reaper yang secara bersamaan menyamar sebagai tiga raksasa teknologi — Apple, Google, dan Microsoft — dalam satu rantai serangan tunggal yang menyasar pengguna macOS di seluruh dunia.

Serangan bermula dari halaman unduhan palsu aplikasi WeChat atau Miro yang dihosting di domain typo-squatting yang meniru infrastruktur Microsoft, termasuk domain mlcrosoft.co.com. Begitu korban mengunjungi halaman tersebut, kode JavaScript tersembunyi langsung mengumpulkan informasi sistem, alamat IP, lokasi, data WebGL, hingga penanda mesin virtual.

Yang membedakan Reaper dari pendahulunya adalah cara rantai infeksinya berganti penyamaran di setiap tahap: payload dikirim dari domain palsu Microsoft, dieksekusi dengan kedok pembaruan keamanan Apple, lalu bersembunyi di direktori Google Software Update palsu.

Berbeda dari varian SHub sebelumnya yang mengandalkan taktik ClickFix — menipu korban agar menempelkan perintah berbahaya ke Terminal — Reaper memanfaatkan skema URL applescript:// untuk membuka Script Editor macOS yang sudah diisi payload berbahaya. Pendekatan ini secara efektif melewati proteksi yang ditambahkan Apple di macOS Tahoe 26.4 untuk memblokir serangan berbasis Terminal.

Persistensi menjadi perubahan terbesar dalam build Reaper. Malware ini memasang LaunchAgent yang menyamar sebagai infrastruktur Google di dalam folder Library pengguna, lengkap dengan struktur GoogleUpdate.app palsu dan com.google.keystone.agent.plist yang dieksekusi setiap 60 detik — sangat mirip dengan layanan pembaruan Keystone milik Google yang asli.

Peneliti SentinelOne Phil Stokes menyatakan dalam laporan resminya: “Build Reaper membuktikan bahwa operator SHub tengah memperluas kapabilitas malware mereka melampaui sekadar pencurian kredensial dan dompet kripto. Selain modul Filegrabber bergaya AMOS dan unggahan data terbagi, varian ini juga memasang backdoor persisten yang memberi operator lebih banyak cara untuk mencuri data atau beralih ke instalasi berbahaya lainnya setelah kompromi awal.”

Reaper mencuri data dari delapan browser populer termasuk Chrome, Firefox, Brave, dan Edge, serta ekstensi dompet kripto seperti MetaMask dan Phantom, manajer kata sandi seperti 1Password dan Bitwarden, aplikasi dompet desktop Exodus, Atomic, Ledger Live, hingga Trezor Suite. Malware ini juga memiliki kill switch yang menghentikan eksekusi jika mendeteksi keyboard berbahasa Rusia.

Apple tidak pernah meminta pengguna membuka Script Editor lalu mengklik “Run” untuk memasang pembaruan. Pengguna disarankan menghindari skrip atau installer dari situs tidak tepercaya, terutama halaman yang mengklaim memerlukan pembaruan keamanan manual, serta mengunduh perangkat lunak hanya dari situs resmi pengembang atau Mac App Store.