- Kredensial pengelola yang disusupi memungkinkan pembaruan berbahaya pada paket NPM yang digunakan secara luas, dengan unduhan melebihi satu miliar.
- Muatan tersembunyi menggunakan pemuat multi-tahap dan pengaburan Base64, yang menargetkan jalur CI dan lingkungan pengembang.
- Dampaknya menjangkau ribuan proyek hilir, meskipun pencurian on-chain sejauh ini tampaknya terbatas di bawah $200.
- Panduan keamanan menekankan Penandatanganan Jelas, dompet perangkat keras dengan layar aman, dan kebersihan kredensial NPM/CI yang lebih ketat.
Berita tentang pelanggaran rantai pasokan NPM skala besar Para pengembang dan pengguna kripto sama-sama resah setelah akun seorang pengelola ternama dilaporkan dibajak, yang memungkinkan rilis backdoor masuk ke ekosistem JavaScript. Peringatan publik di X menunjukkan bahwa paket-paket yang terdampak telah terkumpul selama lebih dari miliar unduhan seumur hidup, meningkatkan taruhan bagi tim yang mengandalkan dependensi JS dalam dompet, dApps, platform SaaS, dan jalur pengembangan.
Obrolan awal menggambarkan insiden ini sebagai penyimpangan dari typosquatting, namun analisis selanjutnya menunjukkan adanya penyimpangan yang lebih besar. kompromi yang ditargetkan terhadap kredensial pengelola dan publikasi modul berbahaya dengan nama yang sah. Meskipun telemetri hingga saat ini menunjukkan pencurian on-chain terbatas, luasnya paparan menggarisbawahi seberapa cepat masalah rantai pasokan sumber terbuka dapat memengaruhi lingkungan kripto dan perusahaan.
Apa yang terjadi dan mengapa itu penting
Para pemimpin keamanan, termasuk CTO Ledger Charles Guillemet, memperingatkan bahwa kode berbahaya tersebut direkayasa untuk tukar alamat dompet mata uang kripto secara diam-diam selama alur penandatanganan, yang berpotensi mengalihkan dana ke penyerang jika pengguna gagal menangkap perubahan tersebut. Peringatan tersebut menekankan bahwa dApp atau dompet perangkat lunak yang mengintegrasikan paket JS yang disusupi dapat terekspos, bahkan jika aplikasi itu sendiri tidak pernah menangani kunci secara langsung.
Guillemet juga menegaskan kembali praktik terbaik bagi pengguna akhir: hindari penandatanganan buta, dan lebih memilih dompet perangkat keras dengan layar aman yang mendukung Clear Signing sehingga alamat tujuan akhir diverifikasi pada layar tepercaya. Dompet yang tidak memiliki layar aman atau dukungan Clear Signing berada di risiko yang meningkat karena tidak ada cara yang dapat diandalkan untuk memvalidasi rincian transaksi secara menyeluruh.
Cakupan, penyebaran, dan target
Para peneliti yang melacak kampanye tersebut mengamati bahwa pembaruan yang dilakukan melalui pintu belakang berkembang biak dengan cepat di seluruh grafik ketergantungan, menyentuh SaaS perusahaan, perkakas pengembang, dan bahkan proyek pendidikan. Perkiraan menunjukkan bahwa 4,500+ proyek hilir menelan setidaknya satu rilis yang terkontaminasi sebelum pengelola mengembalikan versi yang terpengaruh.
Tim di Wiz.io ditandai aktivitas jaringan yang tidak biasa berasal dari pipeline CI tak lama setelah peningkatan pustaka rutin—petunjuk awal bahwa perilaku pasca-instal atau waktu-pembuatan mungkin terlibat. Para penyerang mengandalkan versi yang cermat dan perubahan yang halus untuk menyatu dengan siklus rilis normal dan menghindari tersandungnya deteksi anomali dasar.
Bagaimana muatan berbahaya tersebut beroperasi
Rantai malware tersebut dilaporkan bergantung pada infeksi multi-tahap strategi. Langkah pasca-instal yang tampak aman mengambil loader ringan, yang kemudian menjangkau domain yang dikendalikan penyerang untuk mengambil payload tahap kedua. Untuk mengurangi deteksi, URL dan gumpalan data dikaburkan (misalnya, Base64) dan eksekusinya dibatasi oleh pemeriksaan bersyarat.
Daripada melakukan penghancuran data secara terbuka, tahap kedua mengambil sampel variabel lingkungan dan metadata sistem, menyiapkan pijakan dan memungkinkan pengunduhan lanjutan. Para penyelidik mengatakan pemuat tersebut dapat memasang layanan latar belakang persisten di bawah profil pengguna, bertahan dari penghapusan paket dan mempertahankan akses saat terjadi boot ulang.
Meskipun mekanisme yang mengkhawatirkan, aliran on-chain yang diamati terkait dengan operasi tersebut sejauh ini masih sederhana—hanya segelintir transaksi dengan total di bawah $200Pola tersebut menunjukkan pengintaian dan pembangunan persistensi lebih dari sekadar monetisasi langsung, meskipun desainnya jelas mendukung pencurian pertukaran alamat dalam alur kerja penandatanganan.
Respons, indikator, dan mitigasi
Wiz.io melaporkan indikator tambahan kompromi dalam sistem CI populer, termasuk URL yang dikaburkan dan blok yang dikodekan Base64 tertanam dalam log pipa. Temuan mereka mendorong cepat patch skrip pipa, audit luas terhadap token NPM, dan penegakan keamanan pengelola yang lebih ketat di organisasi yang terdampak.
Di sisi vendor, OKX Wallet menyatakan bahwa platformnya tidak terdampakPerusahaan menyoroti pengembangan iOS/Android asli untuk aplikasi selulernya (membatasi ketergantungan pada JavaScript tertanam), isolasi antara ekstensi browser, aplikasi web, dan komponen penelusuran dApp, dan praktik pertahanan berlapis seperti penyimpanan dingin 95%, brankas multisig semi-offline, deteksi ancaman berbasis AI, dan 2FA wajib.
OKX juga mendesak pengguna untuk tetap waspada dengan integrasi pihak ketiga: memeriksa basis kode dompet jika memungkinkan, dan periksa kembali setiap transaksi sebelum menandatangani. Reaksi masyarakat sebagian besar positif, mencatat bahwa komunikasi yang jelas dan tepat waktu membantu mengatasi kepanikan dan memfokuskan upaya perbaikan di seluruh ekosistem.
Bagi para pengelola dan tim, langkah-langkah praktis sekarang meliputi: mengaktifkan 2FA di NPM, membatasi dan merotasi token akses, cakupan hak istimewa paling rendah untuk CI, menyematkan dependensi dan memverifikasi integritas (checksum, asal/SLSA jika tersedia), audit skrip pasca-instal, dan kontrol keluar di lingkungan build. Bagi pengguna akhir, dompet perangkat keras dengan layar aman dan Clear Signing tetap menjadi penahan yang andal terhadap manipulasi alamat terselubung.
Episode ini menyoroti bagaimana kompromi satu pemelihara dapat kaskade melalui rantai pasokan NPM, mengabaikan ribuan proyek sambil hanya menghasilkan sinyal keuangan yang samar. Antara pementasan yang sembunyi-sembunyi, taktik persistensi, dan pembuatan versi yang cermat, para pembela menghadapi musuh yang licik—musuh yang memprioritaskan jangkauan dan daya tahan. Kewaspadaan yang berkelanjutan, nasihat yang transparan, dan kontrol berlapis dari pengembangan hingga penandatanganan akan menjadi kunci saat investigasi dan pembersihan berlangsung.
