- Topik
4k Popularitas
93k Popularitas
15k Popularitas
5k Popularitas
30k Popularitas
16k Popularitas
23k Popularitas
14k Popularitas
3k Popularitas
13k Popularitas
- Sematkan
4k Popularitas
93k Popularitas
15k Popularitas
5k Popularitas
30k Popularitas
16k Popularitas
23k Popularitas
14k Popularitas
3k Popularitas
13k Popularitas
Analisis insiden pencurian Kunci Pribadi pengguna Solana akibat serangan paket NPM jahat
Analisis Kasus Pencurian Aset Pengguna Solana: Paket NPM Berbahaya Mencuri Kunci Pribadi
Pada 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan untuk menganalisis alasan di balik pencurian aset kriptonya. Setelah diselidiki, kejadian ini berasal dari penggunaan proyek sumber terbuka solana-pumpfun-bot yang dihosting di GitHub.
Tim keamanan segera melakukan penyelidikan. Setelah mengunjungi repositori GitHub proyek, ditemukan bahwa meskipun jumlah Star dan Fork cukup tinggi, waktu pengiriman kode sangat terpusat dan kurang memiliki karakteristik pembaruan yang berkelanjutan.
Analisis lebih lanjut menunjukkan bahwa proyek Node.js ini mengacu pada paket pihak ketiga yang mencurigakan bernama crypto-layout-utils. Paket dependensi ini telah dihapus oleh pihak resmi, dan versi yang ditentukan dalam package.json tidak muncul dalam catatan sejarah resmi NPM.
Dalam file package-lock.json, peneliti menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dengan alamat unduhan release dari repositori GitHub. Setelah mengunduh dan menganalisis paket ketergantungan yang sangat membingungkan ini, dipastikan bahwa ini adalah paket NPM jahat.
Paket jahat ini akan memindai file komputer pengguna, dan jika menemukan konten yang terkait dengan dompet atau Kunci Pribadi, maka akan diunggah ke server yang dikendalikan oleh penyerang. Penyerang juga mungkin mengendalikan beberapa akun GitHub untuk mendistribusikan program jahat dan meningkatkan kredibilitas proyek.
Selain crypto-layout-utils, ditemukan juga paket berbahaya lain bernama bs58-encrypt-utils. Paket-paket berbahaya ini mulai didistribusikan sejak pertengahan Juni 2025, dan kemudian melanjutkan penyebarannya dengan mengganti tautan unduhan paket NPM.
Melalui alat analisis on-chain, terungkap bahwa sebagian dana yang dicuri telah dipindahkan ke suatu platform perdagangan.
Serangan kali ini dilakukan dengan menyamarkan proyek sumber terbuka yang sah, menggoda pengguna untuk mengunduh dan menjalankan kode yang mengandung ketergantungan berbahaya, sehingga mencuri kunci pribadi dompet. Penyerang memanfaatkan beberapa akun GitHub untuk bekerja sama, memperluas jangkauan penyebaran dan meningkatkan kredibilitas, yang sangat menipu.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas sumbernya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.