Akun NPM dari seorang pengembang terkenal telah diretas, mengeluarkan versi jahat dari paket seperti chalk dan color-convert, yang diunduh miliaran kali—memicu risiko rantai pasokan yang besar.
Penyerang menyematkan pemintas clipboard yang menggantikan alamat dompet crypto menggunakan visual yang hampir identik ( melalui jarak Levenshtein) atau secara aktif menimpa alamat yang terdeteksi oleh browser untuk mengintersepsi transaksi.
Meskipun hacker telah mendapatkan total sekitar ~$496, sebagian besar paket yang terpengaruh telah diperbaiki atau dihapus; dompet utama ( misalnya MetaMask, Phantom) mengkonfirmasi tidak terpengaruh, tetapi tetap harus berhati-hati.
Serangan rantai pasokan NPM besar-besaran telah mengkompromikan paket JavaScript yang banyak digunakan—diunduh lebih dari 1 miliar kali—menyisipkan perampok alamat kripto yang diam-diam mencuri dana. Berikut adalah apa yang terjadi dan bagaimana cara melindungi diri Anda.
Pada tanggal 9 September, waktu Beijing, Charles Guillemet, Chief Technology Officer dari Ledger, menerbitkan peringatan di X: ” Sebuah serangan rantai pasokan berskala besar saat ini sedang berlangsung, dan akun NPM dari seorang pengembang terkenal telah dikompromikan. Paket yang terpengaruh telah diunduh lebih dari 1 miliar kali, yang berarti bahwa seluruh ekosistem JavaScript mungkin berisiko. “
Guillemet menambahkan: “Kode jahat ini bekerja dengan secara diam-diam memanipulasi alamat cryptocurrency di latar belakang untuk mencuri dana. Jika Anda menggunakan dompet perangkat keras, harap periksa dengan cermat setiap transaksi yang ditandatangani dan Anda akan aman. Jika Anda tidak menggunakan dompet perangkat keras, harap hindari melakukan transaksi on-chain untuk sementara waktu. Tidak jelas apakah para penyerang secara langsung mencuri frasa mnemonik dari dompet perangkat lunak.”
APA YANG TERJADI?
Menurut laporan keamanan yang dikutip oleh Guillemet, penyebab langsung dari insiden ini adalah bahwa akun NPM dari pengembang terkenal @qix telah diretas, yang mengakibatkan dirilisnya versi jahat dari puluhan paket perangkat lunak, termasuk chalk, strip-ansi, dan color-convert. Kode jahat tersebut mungkin telah menyebar ke terminal ketika pengembang atau pengguna secara otomatis menginstal ketergantungan.
Odaily Note: Data unduhan mingguan dari paket perangkat lunak yang terkompromi.
Singkatnya, ini adalah kasus klasik dari serangan rantai pasokan—serangan di mana penyerang menyisipkan kode jahat ( seperti paket NPM ) ke dalam alat pengembangan atau sistem ketergantungan. NPM, singkatan dari Node Package Manager, adalah alat manajemen paket yang paling umum digunakan dalam ekosistem JavaScript/Node.js. Fungsi utamanya mencakup mengelola ketergantungan, menginstal dan memperbarui paket, serta berbagi kode.
Ekosistem NPM sangat besar, dengan jutaan paket perangkat lunak yang tersedia saat ini. Hampir semua proyek Web3, dompet kripto, dan alat front-end bergantung pada NPM. Justru karena NPM bergantung pada sejumlah besar ketergantungan dan tautan yang kompleks, ini merupakan titik masuk berisiko tinggi untuk serangan rantai pasokan. Selama seorang penyerang menanamkan kode jahat dalam paket perangkat lunak yang umum digunakan, itu dapat mempengaruhi ribuan aplikasi dan pengguna.
Seperti yang ditunjukkan dalam diagram alur penyebaran kode jahat di atas:
Sebuah proyek tertentu (blue box) akan bergantung langsung pada beberapa pustaka sumber terbuka umum, seperti express.
Ketergantungan langsung ini (kotak hijau) pada gilirannya bergantung pada ketergantungan tidak langsung lainnya (kotak kuning, seperti lodash).
Jika ketergantungan tidak langsung disisipkan secara diam-diam dengan kode jahat (red box) oleh penyerang, itu akan masuk ke dalam proyek melalui rantai ketergantungan.
APA ARTINYA UNTUK KRIPTOVALUTA?
Relevansi langsung dari insiden keamanan ini terhadap industri cryptocurrency terletak pada fakta bahwa kode jahat yang ditanamkan oleh hacker ke dalam paket perangkat lunak terkontaminasi yang disebutkan di atas adalah "pencuri clipboard cryptocurrency" yang canggih yang mencuri aset kripto dengan mengganti alamat dompet dan membajak transaksi.
Pendiri Stress Capital GE (@GuarEmperor) menjelaskan ini lebih detail di X. "Clipboard hijacker" yang disuntikkan oleh peretas menggunakan dua mode serangan: mode pasif menggunakan "algoritma jarak Levenshtein" untuk mengganti alamat dompet, yang sangat sulit untuk dideteksi karena kesamaan visualnya; mode aktif mendeteksi dompet terenkripsi di browser dan memanipulasi alamat target sebelum pengguna menandatangani transaksi.
Karena serangan ini menargetkan pustaka basis lapisan proyek JavaScript, bahkan proyek yang secara tidak langsung bergantung pada pustaka ini mungkin terpengaruh.
BERAPA BANYAK KEUNTUNGAN YANG DIDAPAT HACKER?
Kode jahat yang ditanam oleh peretas juga mengungkap alamat serangannya. Alamat serangan utama peretas di Ethereum adalah 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, dan dana terutama berasal dari tiga alamat berikut:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham telah membuat halaman pelacakan untuk serangan ini, di mana pengguna dapat memeriksa keuntungan dan status transfer hacker secara real time.
Hingga postingan ini, para peretas hanya mendapatkan keuntungan $496 dari serangan tersebut, tetapi mengingat bahwa sejauh mana penyebaran kode jahat belum ditentukan, diperkirakan angka ini mungkin terus meningkat. Pengembang telah diberitahu dan sedang bekerja sama dengan tim keamanan NPM untuk menyelesaikan masalah ini. Kode jahat sekarang telah dihapus dari sebagian besar paket yang terpengaruh, jadi situasi ini sudah terkendali.
BAGAIMANA MENGHINDARI RISIKO?
Pendiri Defillama @0xngmi Yu X mengatakan bahwa meskipun insiden ini terdengar berbahaya, dampak sebenarnya tidak sebesar yang dibayangkan – karena insiden ini hanya akan mempengaruhi situs web yang telah memperbarui sejak paket NPM yang diretas dirilis, dan proyek lainnya akan tetap menggunakan versi lama; dan sebagian besar proyek akan memperbaiki ketergantungan mereka, jadi bahkan jika mereka melakukan pembaruan, mereka akan terus menggunakan kode keamanan lama.
Namun, karena pengguna tidak benar-benar dapat mengetahui apakah suatu proyek memiliki ketergantungan tetap atau apakah ia memiliki beberapa ketergantungan yang diunduh secara dinamis, pihak proyek saat ini diminta untuk melakukan pemeriksaan mandiri dan mengungkapkannya terlebih dahulu.
Saat ini, beberapa proyek dompet atau aplikasi, termasuk MetaMask, Phantom, Aave, Fluid, dan Jupiter, telah mengungkapkan bahwa mereka tidak terpengaruh oleh insiden ini. Oleh karena itu, secara teori, pengguna dapat dengan aman menggunakan dompet yang telah terkonfirmasi aman untuk mengakses protokol yang telah terkonfirmasi aman. Namun, untuk dompet atau proyek lain yang belum mengungkapkan keamanan, mungkin lebih aman untuk sementara menghindari penggunaannya.
〈Semalam, "serangan rantai pasokan" mendominasi berita: Apa yang terjadi? Bagaimana kita dapat mengurangi risikonya?〉Artikel ini pertama kali diterbitkan di "CoinRank".
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Semalaman, "serangan rantai pasokan" mendominasi berita: Apa yang terjadi? Bagaimana kita dapat mengurangi risiko?
Akun NPM dari seorang pengembang terkenal telah diretas, mengeluarkan versi jahat dari paket seperti chalk dan color-convert, yang diunduh miliaran kali—memicu risiko rantai pasokan yang besar.
Penyerang menyematkan pemintas clipboard yang menggantikan alamat dompet crypto menggunakan visual yang hampir identik ( melalui jarak Levenshtein) atau secara aktif menimpa alamat yang terdeteksi oleh browser untuk mengintersepsi transaksi.
Meskipun hacker telah mendapatkan total sekitar ~$496, sebagian besar paket yang terpengaruh telah diperbaiki atau dihapus; dompet utama ( misalnya MetaMask, Phantom) mengkonfirmasi tidak terpengaruh, tetapi tetap harus berhati-hati.
Serangan rantai pasokan NPM besar-besaran telah mengkompromikan paket JavaScript yang banyak digunakan—diunduh lebih dari 1 miliar kali—menyisipkan perampok alamat kripto yang diam-diam mencuri dana. Berikut adalah apa yang terjadi dan bagaimana cara melindungi diri Anda.
Pada tanggal 9 September, waktu Beijing, Charles Guillemet, Chief Technology Officer dari Ledger, menerbitkan peringatan di X: ” Sebuah serangan rantai pasokan berskala besar saat ini sedang berlangsung, dan akun NPM dari seorang pengembang terkenal telah dikompromikan. Paket yang terpengaruh telah diunduh lebih dari 1 miliar kali, yang berarti bahwa seluruh ekosistem JavaScript mungkin berisiko. “
Guillemet menambahkan: “Kode jahat ini bekerja dengan secara diam-diam memanipulasi alamat cryptocurrency di latar belakang untuk mencuri dana. Jika Anda menggunakan dompet perangkat keras, harap periksa dengan cermat setiap transaksi yang ditandatangani dan Anda akan aman. Jika Anda tidak menggunakan dompet perangkat keras, harap hindari melakukan transaksi on-chain untuk sementara waktu. Tidak jelas apakah para penyerang secara langsung mencuri frasa mnemonik dari dompet perangkat lunak.”
APA YANG TERJADI?
Menurut laporan keamanan yang dikutip oleh Guillemet, penyebab langsung dari insiden ini adalah bahwa akun NPM dari pengembang terkenal @qix telah diretas, yang mengakibatkan dirilisnya versi jahat dari puluhan paket perangkat lunak, termasuk chalk, strip-ansi, dan color-convert. Kode jahat tersebut mungkin telah menyebar ke terminal ketika pengembang atau pengguna secara otomatis menginstal ketergantungan.
Odaily Note: Data unduhan mingguan dari paket perangkat lunak yang terkompromi.
Singkatnya, ini adalah kasus klasik dari serangan rantai pasokan—serangan di mana penyerang menyisipkan kode jahat ( seperti paket NPM ) ke dalam alat pengembangan atau sistem ketergantungan. NPM, singkatan dari Node Package Manager, adalah alat manajemen paket yang paling umum digunakan dalam ekosistem JavaScript/Node.js. Fungsi utamanya mencakup mengelola ketergantungan, menginstal dan memperbarui paket, serta berbagi kode.
Ekosistem NPM sangat besar, dengan jutaan paket perangkat lunak yang tersedia saat ini. Hampir semua proyek Web3, dompet kripto, dan alat front-end bergantung pada NPM. Justru karena NPM bergantung pada sejumlah besar ketergantungan dan tautan yang kompleks, ini merupakan titik masuk berisiko tinggi untuk serangan rantai pasokan. Selama seorang penyerang menanamkan kode jahat dalam paket perangkat lunak yang umum digunakan, itu dapat mempengaruhi ribuan aplikasi dan pengguna.
Seperti yang ditunjukkan dalam diagram alur penyebaran kode jahat di atas:
Sebuah proyek tertentu (blue box) akan bergantung langsung pada beberapa pustaka sumber terbuka umum, seperti express.
Ketergantungan langsung ini (kotak hijau) pada gilirannya bergantung pada ketergantungan tidak langsung lainnya (kotak kuning, seperti lodash).
Jika ketergantungan tidak langsung disisipkan secara diam-diam dengan kode jahat (red box) oleh penyerang, itu akan masuk ke dalam proyek melalui rantai ketergantungan.
APA ARTINYA UNTUK KRIPTOVALUTA?
Relevansi langsung dari insiden keamanan ini terhadap industri cryptocurrency terletak pada fakta bahwa kode jahat yang ditanamkan oleh hacker ke dalam paket perangkat lunak terkontaminasi yang disebutkan di atas adalah "pencuri clipboard cryptocurrency" yang canggih yang mencuri aset kripto dengan mengganti alamat dompet dan membajak transaksi.
Pendiri Stress Capital GE (@GuarEmperor) menjelaskan ini lebih detail di X. "Clipboard hijacker" yang disuntikkan oleh peretas menggunakan dua mode serangan: mode pasif menggunakan "algoritma jarak Levenshtein" untuk mengganti alamat dompet, yang sangat sulit untuk dideteksi karena kesamaan visualnya; mode aktif mendeteksi dompet terenkripsi di browser dan memanipulasi alamat target sebelum pengguna menandatangani transaksi.
Karena serangan ini menargetkan pustaka basis lapisan proyek JavaScript, bahkan proyek yang secara tidak langsung bergantung pada pustaka ini mungkin terpengaruh.
BERAPA BANYAK KEUNTUNGAN YANG DIDAPAT HACKER?
Kode jahat yang ditanam oleh peretas juga mengungkap alamat serangannya. Alamat serangan utama peretas di Ethereum adalah 0xFc4a4858bafef54D1b1d7697bfb5c52F4c166976, dan dana terutama berasal dari tiga alamat berikut:
0xa29eEfB3f21Dc8FA8bce065Db4f4354AA683c0240
x40C351B989113646bc4e9Dfe66AE66D24fE6Da7B
0x30F895a2C66030795131FB66CBaD6a1f91461731
Arkham telah membuat halaman pelacakan untuk serangan ini, di mana pengguna dapat memeriksa keuntungan dan status transfer hacker secara real time.
Hingga postingan ini, para peretas hanya mendapatkan keuntungan $496 dari serangan tersebut, tetapi mengingat bahwa sejauh mana penyebaran kode jahat belum ditentukan, diperkirakan angka ini mungkin terus meningkat. Pengembang telah diberitahu dan sedang bekerja sama dengan tim keamanan NPM untuk menyelesaikan masalah ini. Kode jahat sekarang telah dihapus dari sebagian besar paket yang terpengaruh, jadi situasi ini sudah terkendali.
BAGAIMANA MENGHINDARI RISIKO?
Pendiri Defillama @0xngmi Yu X mengatakan bahwa meskipun insiden ini terdengar berbahaya, dampak sebenarnya tidak sebesar yang dibayangkan – karena insiden ini hanya akan mempengaruhi situs web yang telah memperbarui sejak paket NPM yang diretas dirilis, dan proyek lainnya akan tetap menggunakan versi lama; dan sebagian besar proyek akan memperbaiki ketergantungan mereka, jadi bahkan jika mereka melakukan pembaruan, mereka akan terus menggunakan kode keamanan lama.
Namun, karena pengguna tidak benar-benar dapat mengetahui apakah suatu proyek memiliki ketergantungan tetap atau apakah ia memiliki beberapa ketergantungan yang diunduh secara dinamis, pihak proyek saat ini diminta untuk melakukan pemeriksaan mandiri dan mengungkapkannya terlebih dahulu.
Saat ini, beberapa proyek dompet atau aplikasi, termasuk MetaMask, Phantom, Aave, Fluid, dan Jupiter, telah mengungkapkan bahwa mereka tidak terpengaruh oleh insiden ini. Oleh karena itu, secara teori, pengguna dapat dengan aman menggunakan dompet yang telah terkonfirmasi aman untuk mengakses protokol yang telah terkonfirmasi aman. Namun, untuk dompet atau proyek lain yang belum mengungkapkan keamanan, mungkin lebih aman untuk sementara menghindari penggunaannya.
〈Semalam, "serangan rantai pasokan" mendominasi berita: Apa yang terjadi? Bagaimana kita dapat mengurangi risikonya?〉Artikel ini pertama kali diterbitkan di "CoinRank".