Insiden Peretasan pada Paket npm debug dan chalk

 (aikido.dev)
1 poin oleh GN⁺ 2025-09-09 | Belum ada komentar. | Bagikan ke WhatsApp
  • 8 September, terdeteksi adanya penyisipan malware pada paket-paket npm populer
  • Total ada 18 paket yang terdampak, dengan lebih dari 2 miliar unduhan per minggu secara global
  • Penyerang menyisipkan kode yang diam-diam mencegat aktivitas kripto dan Web3 di browser pengunjung situs, serta mengalihkan persetujuan dompet dan aliran dana ke akun milik penyerang
  • Dipastikan bahwa kode JavaScript yang diobfuscasi telah ditambahkan ke file paket utama (index.js)
  • Rangkaian insiden ini dimulai bersamaan dengan pembaruan paket yang menjadi target, dan saat ini komunitas sedang menanganinya

Ringkasan Insiden

  • Per 8 September pukul 13:16 UTC, feed pemantauan keamanan Aikido menangkap fenomena diunggahnya beberapa paket yang mengandung malware ke npm
  • Paket-paket ini sangat populer di npm, dengan lebih dari 2 miliar unduhan dalam seminggu

Metode dan Isi Serangan

  • Setelah pembaruan berbahaya dirilis, terkonfirmasi adanya struktur yang menjalankan malware JavaScript secara diam-diam di browser pengunjung situs yang menggunakan paket tersebut
    • Tujuan kode ini adalah memantau aktivitas kripto dan Web3, memanipulasi interaksi dompet, serta mengubah alamat tujuan pembayaran tanpa izin
    • Tanpa perubahan khusus yang terlihat di layar, dana dan otorisasi pengguna dapat dikirim ke alamat kripto yang ditentukan penyerang

Analisis Detail Kode Berbahaya

  • Sebagai contoh, pada is-arrayish dan paket lain, file index.js dimodifikasi dan disisipi JavaScript kompleks yang diobfuscasi
  • Di dalam kode, antarmuka window.ethereum digunakan untuk memeriksa informasi akun dompet dan melalui prosedur verifikasi kondisi pemicu eksekusi kode serangan
  • Secara internal terdapat banyak alamat kripto (Bitcoin, Ethereum, dan lainnya) serta logika fungsi, dengan implementasi yang mengganti alamat dompet dan detail transaksi ke alamat milik penyerang
  • Hal ini menimbulkan risiko aset kripto pengguna nyata bocor dan dipindahkan tanpa izin tanpa disadari

Situasi Saat Ini dan Respons Komunitas

  • Versi paket berbahaya yang bermasalah sedang segera dihapus dari repositori utama npm
  • Komunitas IT/open source secara aktif menjalankan panduan penghentian penggunaan dan upgrade paket terkait, serta kegiatan deteksi dan penanganan infeksi tambahan
  • Insiden peretasan ini menjadi momentum yang sangat meningkatkan kewaspadaan terhadap keamanan rantai pasok paket, deteksi obfuscation kode, dan perlindungan ekstensi browser Web3

Bacaan terkait

Belum ada komentar.

Belum ada komentar.