CTO Ledger Memperingatkan Pemilik Wallet Setelah Akun NPM Diretas
- Sebuah serangan besar menghantam alat JavaScript yang digunakan oleh jutaan pengguna di berbagai platform crypto.
- CTO Ledger menyarankan pengguna untuk memeriksa setiap transaksi dan menghindari tanda tangan buta.
- Para pengembang diminta untuk mengamankan paket dan menghentikan pembaruan otomatis hingga perbaikan selesai.
Sebuah serangan rantai pasokan besar-besaran pada ekosistem JavaScript telah mengguncang industri crypto, memperlihatkan ketergantungan yang rapuh di seluruh infrastrukturnya. Pada 8 September 2025, Chief Technology Officer Ledger, Charles Guillemet, mengonfirmasi bahwa penyerang telah membobol akun NPM (Node Package Manager) milik seorang pengembang terkemuka. Akun yang telah dikompromikan ini memungkinkan peretas untuk menyuntikkan malware “crypto-clipper” ke dalam paket JavaScript yang banyak digunakan.
Pustaka yang terinfeksi ini, termasuk chalk, debug, strip-ansi, dan color-convert, secara kolektif telah diunduh lebih dari satu miliar kali, menunjukkan besarnya skala paparan. Menurut Guillemet, kode berbahaya tersebut diam-diam menukar alamat dompet crypto selama transaksi, mengirimkan dana ke akun yang dikendalikan penyerang. Ini berarti pengguna yang tidak curiga dapat menyelesaikan transaksi dengan keyakinan bahwa transaksi tersebut sah, padahal tanpa sadar kehilangan aset mereka.
Alat yang terdampak ini bukanlah alat yang tidak dikenal. Pustaka seperti Chalk dan Debug mendukung banyak aplikasi terdesentralisasi dan platform crypto, sehingga sangat terlibat dalam operasional harian ekosistem. Pelanggaran terhadap pustaka-pustaka ini menandakan bahwa satu pelanggaran dapat dengan cepat memengaruhi jutaan dompet dan aplikasi.
Peringatan Mendesak dari CTO Ledger
Guillemet tidak menyebutkan nama pengembang yang akunnya dikompromikan. Namun ia menegaskan bahwa ancaman ini sangat luas. “Ini adalah serangan rantai pasokan skala besar. Seluruh ekosistem JavaScript mungkin terdampak,” tulisnya dalam peringatan resminya.
Ia menekankan pentingnya menggunakan hardware wallet dengan layar aman yang mendukung Clear Signing. “Satu-satunya cara pasti untuk mengatasi ini adalah menggunakan hardware wallet dengan layar aman yang mendukung clear signing,” katanya. “Ini akan memungkinkan pengguna untuk melihat dengan tepat ke alamat mana dana dikirim dan memastikan alamat tersebut sesuai dengan yang dimaksud.”
— Charles Guillemet 8 September 2025
Ada serangan rantai pasokan skala besar yang sedang berlangsung: akun NPM milik seorang pengembang terkemuka telah dikompromikan. Paket yang terdampak telah diunduh lebih dari 1 miliar kali, artinya seluruh ekosistem JavaScript mungkin berisiko.
Payload berbahaya ini bekerja…
Ia melanjutkan, “Hardware wallet tanpa layar aman dan dompet apa pun yang tidak mendukung clear signing sangat berisiko, karena tidak mungkin memverifikasi detail transaksi secara akurat.”
Akhirnya, ia mengingatkan secara luas: “Ini adalah kesempatan untuk mengingatkan semua orang: selalu verifikasi transaksi Anda, jangan pernah tanda tangan buta, gunakan hardware wallet dengan layar aman, dan lakukan Clear Sign pada semuanya.”
Respons dari Pengembang dan Implikasi Lebih Luas
Setelah pengungkapan ini, para pengembang didesak untuk mengunci versi dependensi yang aman, mengamankan lockfile, dan menghentikan pembaruan paket otomatis hingga pemberitahuan lebih lanjut. Langkah-langkah pencegahan ini dimaksudkan untuk membatasi kerusakan sementara audit dan pembersihan dilakukan di seluruh ekosistem. Tokoh-tokoh terkemuka dalam komunitas pengembang crypto juga menyarankan pengguna untuk menghindari interaksi dengan situs web crypto sampai kerentanan tersebut diperbaiki.
Terkait: Pengembang Ripple Membela XRP Ledger di Tengah Penilaian Kaiko
Kejadian ini menunjukkan bahwa bahkan penyedia dompet penting seperti Ledger bergantung pada lapisan perangkat lunak di luar kendali langsung mereka. Jika lapisan tersebut dikompromikan, dampaknya bisa sangat menghancurkan. Pengguna yang berjumlah jutaan dan nilai digital yang mencapai miliaran dapat terancam hanya dalam hitungan jam.
Pembaruan tentang Serangan NPM
Menurut pembaruan terbaru dari Guillemet, serangan ini telah gagal dan hampir tidak ada korban. Serangan dimulai dengan email phishing dari domain dukungan npm palsu yang mencuri kredensial, memberikan akses kepada penyerang untuk menerbitkan pembaruan paket berbahaya. Kode yang disuntikkan menargetkan aktivitas crypto web, mengaitkan ke Ethereum, Solana, dan chain lainnya untuk membajak transaksi dengan mengganti alamat dompet langsung di respons jaringan. Namun, kesalahan penyerang menyebabkan crash pada pipeline CI/CD, yang menyebabkan deteksi dini dan membatasi dampak.
Guillemet menekankan bahwa jika dana Anda berada di software wallet atau di exchange, Anda hanya satu eksekusi kode dari kehilangan segalanya. Kompromi rantai pasokan tetap menjadi vektor distribusi malware yang kuat, dan serangan yang ditargetkan semakin meningkat. Ia juga menyoroti bahwa hardware wallet dibangun untuk menahan ancaman-ancaman ini. Fitur seperti Clear Signing memungkinkan Anda mengonfirmasi dengan tepat apa yang terjadi, dan Transaction Checks menandai aktivitas mencurigakan sebelum terlambat.
Artikel Ledger CTO Warns Wallet Holders After NPM Account Hack pertama kali muncul di Cryptotale.
