Analisis Insiden Pencurian Aset Pengguna Solana Akibat Paket NPM Jahat yang Mencuri Kunci Pribadi
Pada 2 Juli 2025, seorang pengguna meminta bantuan kepada tim keamanan untuk menganalisis penyebab pencurian aset kriptonya. Kejadian ini berawal ketika pengguna tersebut menggunakan sebuah proyek sumber terbuka yang dihosting di GitHub pada hari sebelumnya.
Tim keamanan segera melakukan penyelidikan. Setelah mengakses repositori GitHub proyek tersebut, ditemukan bahwa meskipun jumlah Star dan Fork proyeknya cukup tinggi, waktu pengiriman kode terkonsentrasi tiga minggu lalu, menunjukkan karakteristik yang tidak biasa, serta kurangnya jejak pembaruan berkelanjutan yang seharusnya dimiliki oleh proyek yang normal.
Sebagai proyek berbasis Node.js, tim keamanan pertama-tama menganalisis paket dependensinya. Ditemukan bahwa proyek ini mengacu pada paket pihak ketiga bernama crypto-layout-utils, yang telah dicabut dari NPM resmi, dan versi yang ditentukan dalam package.json tidak muncul dalam catatan sejarah resmi NPM.
Selanjutnya, investigasi menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dalam file package-lock.json dengan alamat repositori GitHub yang mereka kendalikan. Setelah mengunduh dan menganalisis paket dependensi yang mencurigakan ini, ditemukan bahwa kodenya telah diproses dengan tingkat kebingungan yang tinggi.
Setelah mengurai kebingungan, dipastikan bahwa ini adalah paket NPM jahat. Penyerang menerapkan logika untuk memindai file komputer pengguna dalam paket tersebut, dan begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, akan diunggah ke server yang dikendalikan oleh penyerang.
Penulis proyek tampaknya mengendalikan sekelompok akun GitHub untuk Fork proyek jahat dan mendistribusikannya, sambil meningkatkan jumlah Fork dan Star proyek, menarik lebih banyak perhatian pengguna, dan memperluas jangkauan penyebaran program jahat.
Tim keamanan juga menemukan beberapa proyek Fork yang memiliki perilaku jahat serupa, beberapa versi menggunakan paket jahat lain yaitu bs58-encrypt-utils-1.0.3. Paket jahat ini dibuat pada 12 Juni 2025, diduga penyerang telah mulai mendistribusikan paket NPM jahat dan proyek Node.js sejak saat itu.
Melalui alat analisis di blockchain, ditemukan bahwa penyerang telah mentransfer dana yang dicuri ke sebuah platform perdagangan.
Dalam serangan ini, penyerang menyamar sebagai proyek open source yang sah, mengelabui pengguna untuk mengunduh dan menjalankan kode berbahaya. Penyerang meningkatkan popularitas proyek secara tidak wajar, membuat pengguna menjalankan proyek Node.js yang mengandung ketergantungan berbahaya tanpa kewaspadaan, yang mengakibatkan kebocoran kunci pribadi dompet dan pencurian aset.
Serangan melibatkan kolaborasi beberapa akun GitHub, memperluas jangkauan penyebaran, meningkatkan kredibilitas, dan memiliki tingkat penipuan yang sangat tinggi. Jenis serangan ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya mempertahankan diri bahkan di dalam organisasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu menjalankan debugging, disarankan untuk melakukannya di lingkungan yang terpisah dan tanpa data sensitif.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
16 Suka
Hadiah
16
6
Bagikan
Komentar
0/400
ForeverBuyingDips
· 12jam yang lalu
Kakak lagi-lagi dipermainkan untuk jadi korban.
Lihat AsliBalas0
MetaMuskRat
· 12jam yang lalu
suckers yang paling banyak menderita dalam hal ini adalah kelompok star.
Lihat AsliBalas0
GateUser-beba108d
· 12jam yang lalu
Sekali lagi, ada suckers yang dipermainkan~
Lihat AsliBalas0
WalletDivorcer
· 12jam yang lalu
Uang semua dicuri, itu seperti bermain sia-sia.
Lihat AsliBalas0
MiningDisasterSurvivor
· 12jam yang lalu
Sekali lagi, sekelompok suckers telah dipermainkan, sama persis dengan perangkap tahun 2018.
Paket NPM jahat mencuri Kunci Pribadi pengguna Solana, penyerang menyamar sebagai proyek Sumber Terbuka untuk melakukan pencurian.
Analisis Insiden Pencurian Aset Pengguna Solana Akibat Paket NPM Jahat yang Mencuri Kunci Pribadi
Pada 2 Juli 2025, seorang pengguna meminta bantuan kepada tim keamanan untuk menganalisis penyebab pencurian aset kriptonya. Kejadian ini berawal ketika pengguna tersebut menggunakan sebuah proyek sumber terbuka yang dihosting di GitHub pada hari sebelumnya.
Tim keamanan segera melakukan penyelidikan. Setelah mengakses repositori GitHub proyek tersebut, ditemukan bahwa meskipun jumlah Star dan Fork proyeknya cukup tinggi, waktu pengiriman kode terkonsentrasi tiga minggu lalu, menunjukkan karakteristik yang tidak biasa, serta kurangnya jejak pembaruan berkelanjutan yang seharusnya dimiliki oleh proyek yang normal.
Sebagai proyek berbasis Node.js, tim keamanan pertama-tama menganalisis paket dependensinya. Ditemukan bahwa proyek ini mengacu pada paket pihak ketiga bernama crypto-layout-utils, yang telah dicabut dari NPM resmi, dan versi yang ditentukan dalam package.json tidak muncul dalam catatan sejarah resmi NPM.
Selanjutnya, investigasi menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dalam file package-lock.json dengan alamat repositori GitHub yang mereka kendalikan. Setelah mengunduh dan menganalisis paket dependensi yang mencurigakan ini, ditemukan bahwa kodenya telah diproses dengan tingkat kebingungan yang tinggi.
Setelah mengurai kebingungan, dipastikan bahwa ini adalah paket NPM jahat. Penyerang menerapkan logika untuk memindai file komputer pengguna dalam paket tersebut, dan begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, akan diunggah ke server yang dikendalikan oleh penyerang.
Penulis proyek tampaknya mengendalikan sekelompok akun GitHub untuk Fork proyek jahat dan mendistribusikannya, sambil meningkatkan jumlah Fork dan Star proyek, menarik lebih banyak perhatian pengguna, dan memperluas jangkauan penyebaran program jahat.
Tim keamanan juga menemukan beberapa proyek Fork yang memiliki perilaku jahat serupa, beberapa versi menggunakan paket jahat lain yaitu bs58-encrypt-utils-1.0.3. Paket jahat ini dibuat pada 12 Juni 2025, diduga penyerang telah mulai mendistribusikan paket NPM jahat dan proyek Node.js sejak saat itu.
Melalui alat analisis di blockchain, ditemukan bahwa penyerang telah mentransfer dana yang dicuri ke sebuah platform perdagangan.
Dalam serangan ini, penyerang menyamar sebagai proyek open source yang sah, mengelabui pengguna untuk mengunduh dan menjalankan kode berbahaya. Penyerang meningkatkan popularitas proyek secara tidak wajar, membuat pengguna menjalankan proyek Node.js yang mengandung ketergantungan berbahaya tanpa kewaspadaan, yang mengakibatkan kebocoran kunci pribadi dompet dan pencurian aset.
Serangan melibatkan kolaborasi beberapa akun GitHub, memperluas jangkauan penyebaran, meningkatkan kredibilitas, dan memiliki tingkat penipuan yang sangat tinggi. Jenis serangan ini menggabungkan rekayasa sosial dan teknik, sehingga sulit untuk sepenuhnya mempertahankan diri bahkan di dalam organisasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu menjalankan debugging, disarankan untuk melakukannya di lingkungan yang terpisah dan tanpa data sensitif.