Pengguna Claude Code berhati-hatilah! TanStack NPM disusupi peretasan dan penyisipan berbahaya, dengan unduhan hingga 12,7 juta kali per minggu

Kumpulan terkenal TanStack diserang oleh hacker TeamPCP yang menyuntikkan virus, mempengaruhi berbagai alat pengembangan AI dan dompet kripto. Perangkat lunak berbahaya tidak hanya mencuri kredensial rahasia, tetapi juga akan secara balasan menghapus data pengguna setelah ditemukan, menyoroti meningkatnya ancaman serangan rantai pasokan.

TanStack NPM diserang, pengguna Claude dan kripto terdampak

Serangan rantai pasokan NPM besar-besaran kembali terjadi! Paket TanStack NPM yang diunduh setidaknya 12,7 juta kali per minggu, telah disusupi oleh organisasi hacker. Serangan ini menargetkan ekosistem AI yang sedang populer akhir-akhir ini, termasuk paket terkait seperti Mistral AI, OpenSearch, dan Guardrails AI.

Organisasi hacker utama menyisipkan kode berbahaya ke dalam alat bantu penulisan AI yang umum digunakan oleh pengembang, seperti Claude Code dan lingkungan editor VS Code dari Microsoft, untuk mencuri kredensial rahasia pengguna, termasuk token akses GitHub yang sangat penting bagi pengembang.

Jika Anda mengunduh versi TanStack NPM yang disuntikkan pada 11 Mei 2026, harap segera ikutipanduan resmi, dan ganti semua akun, kata sandi, serta kredensial cloud yang mungkin terlibat.

Organisasi hacker TeamPCP menyuntikkan virus massal dalam enam menit

Berdasarkan laporan analisis dari StepSecurity, serangan ini dilakukan oleh kelompok hacker aktif bernama TeamPCP. Kelompok ini pernah melakukan serangan rantai pasokan serupa terhadap paket sumber terbuka AI LiteLLM pada bulan Maret tahun ini, yang menyebabkan ratusan GB data rahasia dan lebih dari 500.000 kredensial bocor.

• **Laporan terkait:**Ringkasan insiden penyuntikan virus LiteLLM: Bagaimana memeriksa dompet kripto dan kunci cloud yang terancam?

Kini, TeamPCP mengalihkan target ke TanStack, dan setelah serangan mereka, mereka merilis worm virus berbahaya Mini Shai-Hulud yang bersumber terbuka di GitHub. Virus ini mampu menyebar sendiri, dan begitu masuk ke sistem, akan otomatis mencari dan mencuri berbagai kata sandi dan kunci.

Kasus serangan terhadap TanStack terjadi pada 11 Mei, di mana dalam waktu hanya 6 menit, hacker merilis 84 versi dari 42 paket terkait TanStack yang mengandung kode berbahaya, menggunakan tiga celah sistem dan mekanisme rantai reaksi untuk mencapai tujuannya.

Gambar sumber: StepSecurity, merangkum paket terkait yang terdampak dari kasus serangan TanStack

Timeline kasus penyuntikan virus TanStack

Penulis telah membaca laporan analisis dan menyusun ringkasan proses kejadian serangan TanStack sebagai berikut:

• Pertama, hacker membuat cabang baru di repositori kode TanStack dan secara diam-diam menanamkan kode berbahaya di sana.
• Selanjutnya, memanfaatkan celah dalam mekanisme cache proses otomatis sistem. Saat sistem resmi menguji kode yang dikirim hacker, sistem menyimpan data sementara berisi file berbahaya tersebut. Ketika proses rilis perangkat lunak resmi berikutnya berlangsung, sistem secara tidak sengaja membaca data cache yang terinfeksi ini.
• Terakhir, kode berbahaya yang aktif langsung membaca memori sistem saat berjalan, secara tepat mengekstrak kredensial keamanan berhak tinggi yang digunakan untuk rilis perangkat lunak. Setelah mendapatkan kredensial, hacker dapat melewati pemeriksaan keamanan normal dan langsung merilis paket yang mengandung worm berbahaya ke repositori NPM publik. Paket berbahaya ini bahkan dilengkapi dengan cap sertifikasi keamanan resmi tertinggi, membuat pengembang awam sulit membedakan bahaya dari penampilan luar.

Ketika pengembang yang tidak sadar mengunduh dan menginstal paket yang terinfeksi, Mini Shai-Hulud akan diam-diam aktif di latar belakang. Selain kunci layanan cloud umum, virus ini juga akan membaca lebih dari 100 jalur file default, meliputi file konfigurasi alat AI yang sering digunakan pengembang, pengaturan VPN virtual, dan file fisik dompet kripto seperti Bitcoin dan Ethereum.

Setelah kejadian, peneliti keamanan dari StepSecurity, Ashish Kurmi, mendeteksi aktivitas mencurigakan dalam 20 menit dan melaporkannya. Tim resmi TanStack segera merespons dengan mengurangi hak push mereka di GitHub untuk mencegah penyebaran lebih luas, dan menghubungi pihak NPM untuk menurunkan 84 versi berbahaya ini secara paksa.

Semakin kuat hacker, semakin sulit pertahanan

Kasus TanStack memberi peringatan keamanan kepada komunitas pengembang dan pengguna kripto, dan semakin populernya alat penulisan AI dapat menyebabkan pengguna baru yang kurang paham keamanan tersandung jebakan.

Chief Technology Officer dompet dingin terkenal Ledger, Charles Guillemet, menyatakan bahwa serangan rantai pasokan NPM terhadap ekosistem AI ini paling licik karena skrip berbahaya ini terus memantau apakah kredensial GitHub yang dicuri telah dicabut oleh pengguna.

Jika sistem hacker mendeteksi bahwa pengguna menemukan anomali dan mencoba mencabut kredensial, kode berbahaya akan langsung melakukan balasan, menghapus data direktori utama pengguna di komputer korban.

Desain yang bersifat hukuman ini sangat mengganggu proses pemulihan dan perbaikan pasca-insiden oleh tim keamanan dan korban, serta memberi waktu lebih bagi hacker untuk memperdalam kerusakan dan pengendalian sistem. Selain itu, fakta bahwa Mini Shai-Hulud dibuka sumbernya juga menunjukkan bahwa biaya serangan rantai pasokan NPM sangat rendah bagi mereka.

Dia dengan serius mengatakan: “Kita sedang memasuki era baru, di mana teknik hacker menjadi sangat canggih, dan pertahanan terhadap mereka semakin sulit setiap hari.”