Pengguna Claude Code berhati-hatilah! TanStack NPM disusupi peretasan dan penyebaran beracun, dengan unduhan hingga 12,7 juta kali per minggu

Kumpulan terkenal TanStack diserang oleh hacker TeamPCP yang menyuntikkan malware, mempengaruhi berbagai alat pengembangan AI dan dompet kripto. Program jahat tidak hanya mencuri kredensial rahasia, tetapi juga akan secara balasan menghapus data pengguna setelah ditemukan, menyoroti meningkatnya ancaman serangan rantai pasokan.

TanStack NPM diserang, pengguna Claude dan kripto terdampak

Serangan rantai pasokan NPM besar-besaran kembali terjadi! Paket TanStack NPM yang diunduh setidaknya 12,7 juta kali per minggu, telah disusupi oleh kelompok hacker. Serangan ini menargetkan ekosistem AI yang sedang populer akhir-akhir ini, termasuk paket terkait seperti Mistral AI, OpenSearch, dan Guardrails AI.

Kelompok hacker utama menyisipkan kode berbahaya ke dalam alat bantu penulisan kode AI yang umum digunakan oleh pengembang, seperti Claude Code dan lingkungan editor VS Code dari Microsoft, untuk mencuri kredensial rahasia pengguna, termasuk yang sangat penting bagi pengembang seperti token akses GitHub.

Jika Anda mengunduh versi TanStack NPM yang disuntikkan pada 11 Mei 2026, harap segera ikutipanduan resmiuntuk mengganti semua akun, kata sandi, dan kredensial cloud yang mungkin terpengaruh.

Kelompok hacker TeamPCP menyuntikkan malware dalam waktu enam menit

Berdasarkan laporan analisis dari StepSecurity, serangan ini dilakukan oleh kelompok hacker aktif TeamPCP. Kelompok ini sebelumnya pada bulan Maret tahun ini melakukan serangan rantai pasokan bersarang terhadap paket open-source AI LiteLLM, yang menyebabkan ratusan GB data rahasia dan lebih dari 500.000 kredensial bocor.

• **Laporan terkait:**Ringkasan serangan penyuntikan malware LiteLLM: Bagaimana memeriksa apakah dompet kripto dan kunci cloud aman?

Kini, TeamPCP mengalihkan target ke TanStack, dan setelah serangan mereka merilis worm virus berbahaya Mini Shai-Hulud yang bersumber dari open-source di GitHub. Virus ini mampu menyebar sendiri, dan begitu masuk ke sistem, akan otomatis mencari dan mencuri berbagai kata sandi dan kunci.

Kasus serangan terhadap TanStack terjadi pada 11 Mei, di mana dalam waktu hanya 6 menit, hacker merilis 84 versi dari 42 paket terkait TanStack yang mengandung kode berbahaya, menggunakan tiga celah sistem dan reaksi berantai mekanisme untuk mencapai tujuannya.

Sumber gambar: StepSecurityStepSecurity merangkum paket terkait yang terdampak dari kasus serangan TanStack

Ringkasan kronologi serangan penyuntikan malware TanStack

Penulis telah membaca laporan analisis dan menyusun ringkasan singkat proses terjadinya serangan terhadap TanStack sebagai berikut:

• Pertama, hacker membuat cabang (branch) baru di repositori kode TanStack dan secara diam-diam menyisipkan kode berbahaya di sana.
• Selanjutnya, memanfaatkan celah dalam mekanisme cache proses otomatis sistem. Saat sistem resmi menguji kode yang dikirim hacker, sistem menyimpan sementara file berbahaya tersebut. Ketika proses rilis perangkat lunak resmi dilakukan, sistem secara tidak sengaja membaca data cache yang terinfeksi.
• Terakhir, kode berbahaya yang aktif langsung membaca memori sistem saat berjalan, secara tepat sasaran mencuri kredensial keamanan dengan hak akses tinggi yang digunakan saat rilis perangkat lunak. Setelah kredensial diperoleh, hacker dapat melewati pemeriksaan keamanan normal dan langsung merilis paket berisi worm berbahaya ke repositori NPM publik. Paket berbahaya ini bahkan dilengkapi dengan cap sertifikasi keamanan resmi tertinggi, sehingga pengembang awam tidak dapat membedakan bahaya dari penampilan luar.

Ketika pengembang yang tidak sadar mengunduh dan menginstal paket yang terinfeksi, Mini Shai-Hulud akan diam-diam aktif di latar belakang. Selain kunci layanan cloud umum, virus ini juga akan membaca lebih dari 100 jalur file default, meliputi file konfigurasi alat AI yang sering digunakan pengembang, pengaturan VPN virtual, dan file fisik dompet kripto seperti Bitcoin dan Ethereum.

Setelah kejadian, peneliti keamanan dari StepSecurity, Ashish Kurmi, mendeteksi aktivitas mencurigakan dalam waktu 20 menit dan melaporkannya. Tim resmi TanStack segera merespons dengan mengaktifkan langkah darurat, mencabut hak push mereka di GitHub untuk mencegah penyebaran lebih luas, dan menghubungi pihak NPM untuk menurunkan 84 versi berbahaya tersebut secara paksa.

Semakin kuat serangan, semakin sulit pertahanan

Kasus TanStack memberi peringatan keamanan kepada komunitas pengembang dan pengguna kripto, dan semakin populernya alat pengembangan AI dapat menyebabkan pengguna baru yang kurang paham keamanan terjebak dalam jebakan.

Charles Guillemet, CTO dompet dingin Ledger yang terkenal, menyatakan bahwa serangan rantai pasokan NPM terhadap ekosistem AI ini paling licik karena skrip berbahaya ini terus memantau apakah kredensial GitHub yang dicuri telah dicabut oleh pengguna.

Jika sistem hacker mendeteksi bahwa pengguna menemukan aktivitas mencurigakan dan mencoba mencabut kredensial, kode berbahaya akan langsung melakukan balasan, menghapus data direktori utama pengguna dari komputer korban.

Desain yang bersifat hukuman ini sangat mengganggu proses pemulihan dan perbaikan pasca-insiden oleh tim keamanan dan korban, serta memberi waktu lebih bagi hacker untuk memperdalam kerusakan dan pengendalian sistem. Selain itu, fakta bahwa mereka merilis Mini Shai-Hulud secara open-source menunjukkan bahwa biaya serangan rantai pasokan NPM sangat rendah bagi mereka.

Dia dengan serius menyatakan, “Kita sedang memasuki era baru di mana teknik hacking menjadi sangat canggih, dan pertahanan terhadap mereka semakin sulit setiap hari.”