Serangan Rantai Pasokan NPM: Bursa Besar Menghindari Peluru, Tetapi Pengguna Kripto Tetap Berisiko

Pertukaran cryptocurrency terbesar di dunia berdasarkan volume perdagangan meyakinkan pelanggannya pada hari Selasa bahwa data dan aset mereka tetap aman selama apa yang disebut sebagai salah satu serangan rantai pasokan paling signifikan yang pernah terjadi pada ekosistem JavaScript.

Menurut pernyataan yang diposting di media sosial, pertukaran tersebut mengonfirmasi bahwa tidak ada kerusakan yang terjadi pada basis datanya selama pelanggaran yang menargetkan paket Node.js yang banyak digunakan yang terlibat dalam lebih dari 2 miliar unduhan aplikasi mingguan.

“Kami menyadari serangan rantai pasokan terbaru yang menerbitkan versi jahat dari beberapa paket JavaScript yang banyak digunakan,” tulis perusahaan. “Setelah penyelidikan, kami telah mengonfirmasi bahwa kami tidak terpengaruh dan tidak ada data atau aset pelanggan yang berisiko. Keamanan tetap menjadi prioritas utama kami, kompromi ini mengingatkan kami betapa pentingnya keamanan rantai pasokan. Tetap SAFU.”

Seorang tokoh terkemuka di ruang crypto berkomentar di platform sosial, “Bahkan perangkat lunak sumber terbuka tidak aman saat ini. Web3 akan mendefinisikan ulang keamanan untuk Web2. Kita masih awal.”

Serangan Paket JavaScript Mengguncang Komunitas Crypto

Serangan yang dijelaskan oleh peneliti keamanan sebagai salah satu yang terbesar dalam sejarah NPM terjadi pada tanggal 8 September. Para peretas mengkompromikan akun pemelihara sumber terbuka yang tepercaya “qix” (Josh Junon) melalui email phishing yang canggih yang menyamar sebagai komunikasi resmi dari npmjs.

Saya merasa terganggu betapa mudahnya para penyerang memanipulasi Junon dengan peringatan palsu bahwa akunnya akan terkunci pada 10 September 2025, kecuali dia segera memperbarui kredensial otentikasi dua faktornya.

“Sebagai bagian dari komitmen kami yang berkelanjutan terhadap keamanan akun, kami meminta semua pengguna untuk memperbarui kredensial Autentikasi Dua Faktor (2FA) mereka. Catatan kami menunjukkan bahwa sudah lebih dari 12 bulan sejak pembaruan 2FA terakhir Anda,” bunyi email yang menipu itu.

Junon kemudian mengakui di media sosial bahwa ia menjadi korban skema phishing setelah pemelihara lain mengungkapkan bahwa akun NPM-nya “mengunggah paket dengan pintu belakang,” memungkinkan penyerang meretas akunnya dan mendorong pembaruan berbahaya ke 18 pustaka Node.js populer termasuk chalk, debug, ansi-styles, dan strip-ansi.

Transaksi Kripto yang Dikhususkan

Analisis oleh Aikido Security mengungkapkan bahwa para penyerang menyuntikkan kode yang memungkinkan intersepsi berbasis browser ke dalam paket-paket yang terkompromi. Kode berbahaya tersebut disembunyikan dalam file index.js, di mana ia dapat secara diam-diam memantau lalu lintas jaringan dan API aplikasi di aplikasi mana pun yang menggunakan paket yang terpengaruh.

Skrip ini secara khusus memantau alamat dompet dan transaksi yang melibatkan Bitcoin, Ethereum, Solana, Tron, Litecoin, dan Bitcoin Cash. Ketika terdeteksi, ia secara diam-diam mengganti alamat dompet tujuan dengan satu yang dikendalikan oleh penyerang, mengalihkan dana tanpa sepengetahuan korban.

CTO dari produsen dompet perangkat keras melaporkan bahwa kode jahat tersebut telah menyebar ke dalam paket dengan lebih dari satu miliar unduhan.

Perusahaan analitik blockchain Arkham Intelligence melaporkan pada Senin malam bahwa hanya $159 yang bernilai cryptocurrency yang telah dicuri sejauh ini, yang dilacak ke alamat yang diidentifikasi oleh peneliti keamanan.

Namun, saya khawatir angka yang tampaknya rendah ini menyembunyikan potensi kerusakan yang sebenarnya, mengingat miliaran unduhan yang terkait dengan paket yang terkompromi. Pencurian awal yang lambat bisa jadi hanya mewakili ketenangan sebelum badai yang jauh lebih besar.