Serangan siber baru mencuri kripto dari pengguna saat mereka mengirim transaksi, dan banyak pakar menyebutnya sebagai serangan rantai pasokan terbesar dalam sejarah. Peretas membobol akun pengelola paket npm menggunakan email phishing. Email ini tampak berasal dari “[email protected]“, yang menyalin registri npm asli. Pesan memberi tahu pengembang bahwa akun mereka akan dikunci kecuali mereka memperbarui autentikasi dua faktor mereka. Ketika pengelola mengklik tautan, penyerang mendapatkan detail login mereka dan menempatkan malware di dalam paket npm populer.
Delapan belas pustaka JavaScript yang digunakan secara luas telah dikompromikan, termasuk chalk, debug, dan ansi-styles. Secara bersama-sama, paket-paket ini mendapatkan miliaran unduhan setiap minggu dan digunakan oleh pengembang di seluruh dunia. Itu berarti seluruh ekosistem JavaScript mungkin telah terpapar. BleepingComputer melaporkan bahwa penyerang menyuntikkan kode ke dalam pustaka ini yang bertindak seperti interseptor berbasis browser. Kode ini memantau lalu lintas jaringan dan mencari transaksi kripto di Bitcoin, Ethereum, Solana, Tron, Litecoin, dan Bitcoin Cash. Ketika seseorang mengirim transfer, malware mengganti alamat dompet asli dengan yang dikendalikan oleh peretas sebelum transaksi ditandatangani.
Peneliti keamanan Charlie Eriksen menjelaskan bahwa malware bekerja dalam beberapa cara. Ia mengubah apa yang ditampilkan di situs web, merusak panggilan API, dan menipu aplikasi agar menandatangani transaksi yang tidak dimaksudkan pengguna. Charles Guillemet, CTO Ledger, memperingatkan bahwa serangan masih aktif dan mengatakan bahwa pengguna kripto harus menghindari melakukan transaksi on-chain jika mereka hanya menggunakan dompet perangkat lunak. Pengguna dompet perangkat keras dapat melindungi diri mereka sendiri dengan memeriksa detail sebelum menandatangani, tetapi siapa pun yang tidak memilikinya menghadapi risiko yang lebih tinggi.
Para peneliti juga menemukan bahwa infrastruktur phishing mengirim detail curian ke “websocket-api2.publicvm.com”. Ini menunjukkan bahwa serangan itu terkoordinasi dengan baik. Ini mengikuti insiden npm lainnya awal tahun ini, termasuk satu pada bulan Maret yang menambal paket ethers dengan reverse shell dan yang lainnya pada bulan Juli yang menargetkan eslint-config-prettier. Kampanye terus berkembang, dan kali ini penyerang menggunakan kontrak pintar Ethereum dengan cara baru. Dua paket npm bernama colortoolsv2 dan mimelib2 menyembunyikan perintah berbahaya di dalam kontrak pintar Ethereum. Setelah diunduh, paket-paket tersebut menginstal malware tahap kedua, sehingga mempersulit pendeteksian.
Kontrak pintar Ethereum adalah program kecil yang berjalan di blockchain. Mereka bersifat publik dan bertindak seperti API terbuka. Dalam hal ini, peretas menggunakannya untuk menyimpan tautan untuk mengunduh malware, jadi bahkan jika seseorang memeriksa paket, mereka mungkin tidak melihat kode berbahaya. Metode perintah dan kontrol yang kreatif ini menunjukkan bagaimana aktor ancaman beradaptasi untuk menghindari deteksi.
Para penyerang juga mencoba membuat repositori GitHub mereka terlihat terpercaya. Mereka membuat proyek palsu seperti solana-trading-bot-v2 dan ethereum-mev-bot-v2. Ini memiliki banyak bintang, pengamat, dan komit, tetapi sebagian besar aktivitas ini palsu. Akun dibuat pada saat yang sama, seringkali hanya dengan satu file, dan komit otomatis menggembungkan jumlahnya. Trik rekayasa sosial ini membuat repositori tampak nyata bagi pengembang yang mungkin menyertakan paket npm berbahaya dalam pekerjaan mereka.
Para ahli memperingatkan bahwa serangan rantai pasokan sangat berbahaya karena mereka menargetkan alat tepercaya. Dengan menyembunyikan malware di dalam pustaka sumber terbuka, peretas dapat menjangkau jutaan pengembang dan pengguna akhir sekaligus. Tahun ini saja, para peneliti menemukan lebih dari dua puluh kampanye di npm, GitHub, dan PyPI yang bertujuan untuk mencuri kripto. Beberapa menggunakan infostealer, yang lain menyebarkan penambang koin, dan banyak yang mengandalkan phishing untuk menangkap data sensitif.
Indikator Kompromi (IOC), seperti domain yang mencurigakan, kode yang dikaburkan, dan repositori palsu, membantu tim keamanan mendeteksi ancaman ini. Namun, banyak pengguna tidak akan menyadarinya sampai dana hilang. Untuk saat ini, pengembang perlu memeriksa dengan hati-hati paket, pengelola, dan kode sebelum digunakan. Pengguna kripto harus mempertimbangkan dompet perangkat keras dan menghindari melakukan transfer besar sampai ancaman terkendali. Serangan tersebut menunjukkan betapa cepatnya kejahatan siber berkembang dan betapa pentingnya mengamankan rantai pasokan perangkat lunak dan aset digital.
