Proyek Node.js Berbahaya Memanfaatkan Paket NPM Untuk Mencuri Kunci Pribadi Pengguna Solana
Pada awal Juli 2025, sebuah insiden pencurian aset yang menargetkan pengguna Solana menarik perhatian para ahli keamanan. Seorang korban menemukan bahwa aset kriptonya dicuri setelah menggunakan proyek sumber terbuka "solana-pumpfun-bot" yang dihosting di GitHub.
Setelah tim keamanan melakukan penyelidikan, mereka menemukan bahwa proyek tersebut sebenarnya adalah jebakan yang dirancang dengan cermat. Meskipun jumlah Star dan Fork proyek tersebut cukup tinggi, waktu pengiriman kodenya sangat terpusat dan kurang memiliki karakteristik pembaruan berkelanjutan yang seharusnya dimiliki proyek yang normal.
Analisis mendalam menemukan bahwa proyek ini bergantung pada paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket tersebut telah dihapus dari NPM resmi, dan versi yang ditentukan tidak muncul dalam catatan resmi. Penyerang telah mengakali mekanisme keamanan NPM dengan mengganti tautan unduhan di file package-lock.json.
Setelah mengunduh dan menganalisis paket berbahaya yang sangat terobfuscate ini, tim keamanan mengonfirmasi bahwa ia dapat memindai file komputer pengguna, dan setelah menemukan konten yang terkait dengan dompet atau Kunci Pribadi, ia akan mengunggahnya ke server yang dikendalikan oleh penyerang.
Selain itu, penyerang juga mungkin mengendalikan beberapa akun GitHub, yang digunakan untuk menyebarkan program jahat dan meningkatkan kredibilitas proyek. Beberapa proyek Fork juga menggunakan paket jahat lainnya "bs58-encrypt-utils".
Melalui analisis on-chain, para ahli menemukan bahwa dana yang dicuri telah dipindahkan ke suatu platform perdagangan.
Peristiwa ini menyoroti bahaya kode berbahaya yang tersembunyi dalam proyek sumber terbuka. Penyerang memanfaatkan proyek yang menyamar sebagai proyek yang sah dan meningkatkan popularitasnya, berhasil menipu pengguna untuk menjalankan proyek Node.js yang mengandung ketergantungan berbahaya, yang mengakibatkan kebocoran Kunci Pribadi dan pencurian aset.
Para ahli keamanan menyarankan pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.
Serangan semacam ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya mempertahankan diri bahkan di dalam organisasi. Pengguna harus berhati-hati saat menggunakan proyek sumber terbuka untuk melindungi keamanan aset mereka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Paket NPM jahat menyamar proyek Solana Mencuri kunci pribadi pengguna memicu peringatan keamanan
Proyek Node.js Berbahaya Memanfaatkan Paket NPM Untuk Mencuri Kunci Pribadi Pengguna Solana
Pada awal Juli 2025, sebuah insiden pencurian aset yang menargetkan pengguna Solana menarik perhatian para ahli keamanan. Seorang korban menemukan bahwa aset kriptonya dicuri setelah menggunakan proyek sumber terbuka "solana-pumpfun-bot" yang dihosting di GitHub.
Setelah tim keamanan melakukan penyelidikan, mereka menemukan bahwa proyek tersebut sebenarnya adalah jebakan yang dirancang dengan cermat. Meskipun jumlah Star dan Fork proyek tersebut cukup tinggi, waktu pengiriman kodenya sangat terpusat dan kurang memiliki karakteristik pembaruan berkelanjutan yang seharusnya dimiliki proyek yang normal.
Analisis mendalam menemukan bahwa proyek ini bergantung pada paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket tersebut telah dihapus dari NPM resmi, dan versi yang ditentukan tidak muncul dalam catatan resmi. Penyerang telah mengakali mekanisme keamanan NPM dengan mengganti tautan unduhan di file package-lock.json.
Setelah mengunduh dan menganalisis paket berbahaya yang sangat terobfuscate ini, tim keamanan mengonfirmasi bahwa ia dapat memindai file komputer pengguna, dan setelah menemukan konten yang terkait dengan dompet atau Kunci Pribadi, ia akan mengunggahnya ke server yang dikendalikan oleh penyerang.
Selain itu, penyerang juga mungkin mengendalikan beberapa akun GitHub, yang digunakan untuk menyebarkan program jahat dan meningkatkan kredibilitas proyek. Beberapa proyek Fork juga menggunakan paket jahat lainnya "bs58-encrypt-utils".
Melalui analisis on-chain, para ahli menemukan bahwa dana yang dicuri telah dipindahkan ke suatu platform perdagangan.
Peristiwa ini menyoroti bahaya kode berbahaya yang tersembunyi dalam proyek sumber terbuka. Penyerang memanfaatkan proyek yang menyamar sebagai proyek yang sah dan meningkatkan popularitasnya, berhasil menipu pengguna untuk menjalankan proyek Node.js yang mengandung ketergantungan berbahaya, yang mengakibatkan kebocoran Kunci Pribadi dan pencurian aset.
Para ahli keamanan menyarankan pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.
Serangan semacam ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya mempertahankan diri bahkan di dalam organisasi. Pengguna harus berhati-hati saat menggunakan proyek sumber terbuka untuk melindungi keamanan aset mereka.