Serangan Gaya Cacing Besar Melanda NPM, Menempatkan Kredensial Dompet Kripto dalam Risiko

Sebuah serangan rantai pasokan yang menyebar dengan cepat yang dikenal sebagai Shai-Hulud telah menginfeksi ratusan paket npm dan mengekspos kredensial sensitif pengembang, termasuk token GitHub, kunci cloud, dan data dompet kripto. Kampanye ini dimulai pada pertengahan September 2025 dan telah meningkat dengan cepat saat worm bergerak di akun pemelihara dan pustaka JavaScript yang banyak digunakan.

Bagaimana Cacing Shai-Hulud Menyebar

Agen keamanan melaporkan bahwa penyerang pertama-tama mengkompromikan akun maintainer, sering kali melalui phishing, kemudian mengunggah versi modifikasi dari paket yang sah. Setelah seorang pengembang menginstal salah satu versi ini, skrip jahat yang disebut bundle.js dijalankan di sistem macOS atau Linux.

Worm ini memindai mesin dan pipeline CI untuk menemukan rahasia menggunakan alat sumber terbuka TruffleHog. Ini mencari item seperti:

• Token akses pribadi GitHub
• npm publish token
• Kunci cloud AWS, GCP dan Azure
• Kunci dompet dan kredensial pengembangan kripto

Jika menemukan token npm yang valid, ia segera memperbarui dan menerbitkan ulang paket tambahan yang dimiliki oleh pemelihara yang sama. Perilaku ini memungkinkan malware untuk mereplikasi dengan cepat di seluruh ekosistem.

Persistensi dan Paparan Data

Para peneliti menemukan bahwa worm tersebut berusaha untuk tetap aktif dengan membuat alur kerja GitHub Actions di dalam repositori korban. Ia juga mengunggah kredensial yang dicuri dan data repositori pribadi ke repositori GitHub publik baru yang diberi label Shai-Hulud. Beberapa pustaka yang dikompromikan menerima miliaran unduhan mingguan, yang menimbulkan kekhawatiran serius tentang cakupan paparan.

Meskipun tidak ada kasus yang terkonfirmasi menunjukkan infeksi langsung dari Layanan Nama Ethereum atau perpustakaan web3 populer, risikonya tetap tinggi. Serangan sebelumnya di npm dan PyPI secara khusus menargetkan alat crypto, jadi pengembang yang bekerja pada akun, kontrak pintar, atau aplikasi web3 harus tetap waspada.

Mengapa Proyek Crypto Menghadapi Risiko yang Tinggi

Pengembang sering mengandalkan paket npm di dalam sistem CI/CD, kontainer, dan lingkungan produksi. Oleh karena itu, sebuah ketergantungan yang terkompromi dapat mempengaruhi seluruh alur kerja blockchain. Penyerang dapat mencegat operasi dompet, menangkap frasa benih, atau membaca rahasia penyebaran yang terkait dengan manajemen kontrak pintar.

Apa yang Harus Dilakukan Pengembang Sekarang

Para ahli mendesak tim untuk bertindak segera:

• Audit semua ketergantungan yang digunakan sebelum 16 September 2025
• Amankan versi paket yang aman
• Rotasi setiap kredensial pengembang, termasuk GitHub, npm, token SSH dan cloud
• Aktifkan MFA yang tahan terhadap phishing di semua akun

Insiden Shai-Hulud menyoroti pergeseran besar dalam keamanan sumber terbuka. Cacing rantai pasokan otonom tidak lagi bersifat teoretis. Ekosistem kini memerlukan pemeriksaan ketergantungan yang lebih ketat, alat yang lebih baik, dan izin yang lebih ketat untuk pemelihara.