CTO Ledger Memperingatkan Pengguna tentang Ancaman Pelanggaran Rantai Pasokan NPM yang Mengancam Keamanan Crypto
Sebuah pelanggaran rantai pasokan berskala besar telah mengguncang komunitas open-source setelah peretas berhasil mengkompromikan akun Node Package Manager (NPM) milik seorang pengembang terkemuka. Paket-paket yang banyak digunakan terdampak, memicu kekhawatiran besar di seluruh ekosistem JavaScript.
Singkatnya
- Peretas mengambil alih akun pengembang NPM terkemuka, memicu pelanggaran rantai pasokan yang membahayakan komunitas JavaScript.
- Lebih dari 1 miliar unduhan paket yang terkompromi menimbulkan kekhawatiran akan paparan luas di seluruh ekosistem.
- CTO Ledger Charles Guillemet menyarankan untuk memverifikasi setiap transaksi dan menggunakan hardware wallet dengan tampilan yang aman untuk perlindungan.
Pelanggaran NPM Memicu Kekhawatiran atas Keamanan Wallet
Charles Guillemet, chief technology officer di Ledger, mengungkapkan sejauh mana ancaman ini. Ia melaporkan bahwa sebuah akun NPM utama telah dibajak dan paket-paket yang terdampak telah diunduh lebih dari satu miliar kali. Dengan jangkauan sebesar ini, ia mengatakan seluruh ekosistem JavaScript bisa terekspos. Kode berbahaya tersebut bekerja secara diam-diam, mengganti alamat cryptocurrency secara real-time untuk mengalihkan dana ke penyerang.
Guillemet mengimbau untuk berhati-hati. Ia menjelaskan bahwa pengguna hardware wallet tetap aman jika mereka memverifikasi setiap transaksi dengan cermat sebelum menyetujui. Bagi mereka yang mengandalkan software wallet, ia merekomendasikan untuk menghindari transaksi on-chain hingga situasinya menjadi lebih jelas. Ia juga mencatat bahwa masih belum pasti apakah para penyerang secara langsung mencoba mengekstrak recovery seed dari software wallet.
Pengembang Mengonfirmasi Pengambilalihan Akun
Pemelihara yang menjadi pusat pelanggaran, Josh Junon, mengonfirmasi bahwa akun NPM miliknya telah dikompromikan. Dalam sebuah posting di Bluesky, ia menjelaskan bahwa pengambilalihan tersebut terjadi akibat kampanye phishing. Para penyerang telah membuat domain palsu, ‘support [at] npmjs [dot]’ help, yang dirancang agar mirip dengan situs resmi npmjs.com.
Pemelihara menerima email ancaman yang mengklaim akun mereka akan dikunci pada 10 September 2025. Pesan-pesan ini menyertakan tautan yang mengarahkan ke situs phishing yang dirancang untuk mencuri kredensial. Email palsu tersebut menyatakan:
Untuk menjaga keamanan dan integritas akun Anda, kami dengan hormat meminta Anda untuk menyelesaikan pembaruan ini sesegera mungkin. Harap dicatat bahwa akun dengan kredensial 2FA yang sudah usang akan dikunci sementara mulai 10 September 2025, untuk mencegah akses tidak sah.
Pengembang lain segera melaporkan menjadi target dengan cara yang sama, mengonfirmasi bahwa skema phishing ini menjangkau lebih dari satu pemelihara.
Tanggapan atas Pelanggaran NPM dan Penjelasan Teknis
Tim NPM bertindak cepat setelah pelanggaran terdeteksi, segera menurunkan versi berbahaya yang diunggah oleh penyerang. Di antara yang dihapus adalah rilis paket debug, yang diunduh ratusan juta kali setiap minggu—diperkirakan sekitar 357 juta.
Analisis lebih lanjut dilakukan oleh Aikido Security, dan investigasi mengungkapkan hal-hal berikut:
- Penyerang menambahkan kode berbahaya ke dalam file index.js dari paket yang dibajak. Ini bertindak sebagai interceptor browser, membajak lalu lintas dan menargetkan pengguna crypto.
- Malware tertanam di browser dan terhubung ke fungsi seperti fetch, XMLHttpRequest, dan API wallet seperti window.ethereum dan Solana, memberinya akses ke aktivitas web dan wallet.
- Setelah aktif, ia memindai data untuk alamat wallet di Ethereum, Bitcoin, Solana, Tron, Litecoin, dan Bitcoin Cash. Alamat yang terdeteksi diganti dengan alamat yang dikendalikan penyerang, sering kali dibuat agar terlihat mirip.
- Ia mengubah detail transaksi sebelum penandatanganan, mengganti penerima, persetujuan, atau allowance sementara antarmuka tampak normal, mengirim dana ke penyerang.
- Untuk tetap tersembunyi, ia menghindari perubahan yang terlihat saat wallet hadir, melainkan berjalan diam-diam di latar belakang dan memanipulasi transaksi nyata.
Seruan untuk Tindakan Pencegahan yang Lebih Kuat
Dalam komentarnya kepada CoinDesk, Guillemet memperingatkan bahwa aplikasi terdesentralisasi atau software wallet yang mencakup paket yang terkompromi mungkin tidak aman, sehingga pengguna crypto berisiko kehilangan dana. Ia menekankan bahwa perlindungan paling andal adalah hardware wallet dengan tampilan aman yang mendukung Clear Signing.
Pendekatan ini memungkinkan pengguna untuk memverifikasi alamat dan detail setiap transaksi langsung di layar perangkat, memastikan bahwa apa yang mereka setujui sesuai dengan niat mereka.
Ia menambahkan bahwa situasi ini menjadi pengingat kuat akan praktik penting: “selalu verifikasi transaksi Anda, jangan pernah menandatangani secara buta.” Ia juga menyarankan penggunaan hardware wallet dengan tampilan aman untuk membantu memastikan keamanan.
