Sebuah tool open-source dan cross-platform baru bernama Tirith dapat mendeteksi serangan homoglyph di lingkungan command-line dengan menganalisis URL dalam perintah yang diketik dan menghentikan eksekusinya.
Tersedia di GitHub dan juga sebagai paket npm, tool ini bekerja dengan menghubungkan ke shell pengguna (zsh, bash, fish, PowerShell) dan memeriksa setiap perintah yang ditempel pengguna untuk dieksekusi.
Idenya adalah untuk memblokir serangan penipuan yang mengandalkan URL yang berisi simbol dari huruf berbeda yang tampak identik atau hampir identik bagi pengguna tetapi diperlakukan sebagai karakter berbeda oleh komputer (serangan homoglyph).
Hal ini memungkinkan penyerang membuat nama domain yang terlihat sama dengan merek sah tetapi memiliki satu atau lebih karakter dari alfabet berbeda. Di layar komputer, domain terlihat sah bagi mata manusia, namun mesin menafsirkan karakter anomali dengan benar dan menyelesaikan domain ke server yang dikendalikan oleh penyerang.
Meskipun browser telah mengatasi masalah ini, terminal tetap rentan karena mereka masih dapat merender Unicode, ANSI escapes, dan karakter yang tidak terlihat, kata penulis Tirith, Sheeki, dalam deskripsi tool tersebut.
Menurut Sheeki, Tirith dapat mendeteksi dan memblokir jenis serangan berikut:
- Homograph attack (karakter mirip Unicode dalam domain, punycode, dan skrip campuran).
- Terminal injection (ANSI escapes, bidi override, zero-width character).
- Pipe-to-shell pattern (curl | bash, wget | sh, eval $(…)).
- Dotfile hijacking (~/.bashrc, ~/.ssh/authorized_keys, etc.).
- Insecure transport (HTTP ke shell, TLS dinonaktifkan).
- Supply-chain risk (repo git yang salah ketik, registrasi Docker yang tidak tepercaya).
- Credential exposure (URL informasi pengguna, pemendek URL yang menyembunyikan tujuan).
Karakter homoglyph unicode telah digunakan di masa lalu dalam URL yang dikirimkan melalui email yang mengarah ke situs web berbahaya. Salah satu contohnya adalah kampanye phishing tahun lalu yang meniru identitas Booking.com.
Karakter tersembunyi dalam perintah sangat umum dalam serangan ClickFix yang digunakan oleh berbagai penjahat siber, sehingga Tirith dapat memberikan perlindungan terhadap serangan tersebut pada sesi PowerShell yang didukung.
Perlu dicatat bahwa Tirith tidak terhubung ke Windows Command Prompt (cmd.exe), yang digunakan dalam banyak serangan ClickFix yang menginstruksikan pengguna untuk menjalankan perintah berbahaya.
Sheeki mengatakan overhead penggunaan Tirith adalah sub-milidetik, sehingga pemeriksaan dilakukan secara instan, dan tool segera berhenti setelah selesai.
Tool ini juga dapat menganalisis perintah tanpa menjalankannya, memecah URL’s trust signal, melakukan inspeksi Unicode tingkat byte, dan mengaudit tanda terima dengan SHA-256 untuk skrip yang dieksekusi.
Pembuatnya memastikan bahwa Tirith melakukan semua tindakan analisis secara lokal, tanpa melakukan panggilan jaringan apapun, tidak mengubah perintah yang ditempelkan pengguna, dan tidak berjalan di latar belakang. Selain itu, tidak memerlukan akses cloud atau jaringan, akun, atau kunci API, dan tidak mengirimkan data telemetri apapun ke pembuatnya.
Tirith berfungsi di Windows, Linux, dan macOS, dan dapat diinstal melalui Homebrew, apt/dnf, npm, Cargo, Nix, Scoop, Chocolatey, dan Docker.
Proyek ini memiliki 46 fork dan hampir 1.600 bintang di GitHub, kurang dari seminggu setelah dipublikasikan.
0 Comments
