Hacker menggunakan situs web palsu untuk mencuri akun npm yang tepercaya dan menyebarkan kode berbahaya di berbagai paket populer.
Dompet crypto seperti MetaMask dan Trust Wallet mungkin berisiko jika mereka menggunakan pustaka JavaScript yang terinfeksi.
Pengguna harus berhenti menandatangani transaksi dan memeriksa semua paket jika aplikasi mereka baru-baru ini diperbarui melalui npm.
Sebuah serangan rantai pasokan besar telah mengkompromikan akun npm JavaScript yang sangat dipercaya. Peneliti mengonfirmasi bahwa kode berbahaya tersebut telah menginfeksi 18 paket populer. Paket-paket ini telah diunduh lebih dari 2 miliar kali hanya dalam seminggu terakhir. Paket-paket yang terpengaruh mengandung kode yang mampu secara diam-diam mengganti alamat dompet kripto.
Serangan ini dirancang untuk mengalihkan transaksi tanpa sepengetahuan pengguna. Bahkan jika pengguna menandatangani transaksi yang terlihat benar, dana tersebut mungkin masih pergi ke penyerang. Ekosistem JavaScript berisiko karena seberapa dalam paket-paket ini terintegrasi. Para pengembang didesak untuk mengaudit dan menghapus ketergantungan yang terpengaruh segera.
Dompet Kripto dan Ekosistem dalam Bahaya
Serangan ini berdampak pada banyak dompet berbasis browser dan desktop yang terkenal. Seperti: MetaMask, Trust Wallet, dan Exodus. Dompet perangkat keras tetap lebih aman, namun, pengguna harus tetap memverifikasi detail transaksi dengan cermat. Penyerang menggunakan alamat dompet yang mirip untuk menipu pengguna selama proses penandatanganan.
Hanya pemeriksaan karakter demi karakter yang dapat menemukan perbedaannya. Sebagian besar pengguna hanya memeriksa beberapa karakter pertama dan terakhir dari alamat dompet. Hal itu membuat mereka rentan terhadap taktik penukaran alamat. Skrip otomatis dan kontrak pintar juga berisiko jika mereka bergantung pada pustaka yang telah dikompromikan.
Titik Masuk Adalah Akun Developer yang Terkompromi
Pelanggaran dimulai ketika penyerang menguasai akun pemelihara npm yang tepercaya. Peneliti percaya ini dilakukan dengan menggunakan phishing dan prompt autentikasi dua faktor palsu.
Baru-baru ini, peneliti keamanan siber memperhatikan bahwa hacker menyembunyikan malware dalam kontrak pintar Ethereum melalui paket NPM, menggunakan URL blockchain untuk melewati pemindaian dan mengirimkan muatan tahap kedua. Para penyerang membangun repositori GitHub palsu dengan komit yang dipalsukan dan beberapa akun untuk meningkatkan kredibilitas. Pengguna GitHub melaporkan email mencurigakan yang berpura-pura berasal dari dukungan npm.
Penyerang menggunakan domain yang menyerupai situs web npm yang sebenarnya. Email-email ini mengancam untuk mengunci akun untuk memaksa pengembang mengklik tautan phishing. Setelah dikompromikan, akun tersebut digunakan untuk memperbarui beberapa paket dengan payload berbahaya. Beberapa paket diperbaiki kemudian, tetapi yang lain tetap tidak aman.
Peringatan Keamanan dan Tanggapan Pengembang
Tim keamanan dan peneliti memperingatkan pengguna untuk menghindari aktivitas on-chain untuk saat ini. Pengguna crypto harus menonaktifkan dompet browser dan menghentikan penandatanganan transaksi sementara. Belum ada kerugian besar yang dilaporkan, tetapi risikonya tetap tinggi.
Beberapa platform DeFi, termasuk Axiom dan Kamino, mengonfirmasi bahwa mereka tidak menggunakan paket yang terinfeksi. Namun, pengembang harus memeriksa semua ketergantungan, terutama yang terhubung ke pustaka populer seperti Chalk. Kerentanan semacam ini juga dicatat pada tahun 2024 ketika Hacker mengeksploitasi Lottie Player Java Script, yang mengompromikan dompet di situs DeFi terpercaya seperti 1inch.
Tim npm telah menonaktifkan versi yang diketahui terkompromi, tetapi pembaruan terbaru mungkin masih membawa risiko. Skala penuh dari serangan ini tetap tidak diketahui. Ancaman ini bisa meluas jika lebih banyak akun pengembang menjadi target dengan menggunakan taktik phishing serupa.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Akun NPM Terpercaya Diretas untuk Menyebarkan Kode Jahat yang Mengancam Transaksi dan Dompet Kripto A...
Hacker menggunakan situs web palsu untuk mencuri akun npm yang tepercaya dan menyebarkan kode berbahaya di berbagai paket populer.
Dompet crypto seperti MetaMask dan Trust Wallet mungkin berisiko jika mereka menggunakan pustaka JavaScript yang terinfeksi.
Pengguna harus berhenti menandatangani transaksi dan memeriksa semua paket jika aplikasi mereka baru-baru ini diperbarui melalui npm.
Sebuah serangan rantai pasokan besar telah mengkompromikan akun npm JavaScript yang sangat dipercaya. Peneliti mengonfirmasi bahwa kode berbahaya tersebut telah menginfeksi 18 paket populer. Paket-paket ini telah diunduh lebih dari 2 miliar kali hanya dalam seminggu terakhir. Paket-paket yang terpengaruh mengandung kode yang mampu secara diam-diam mengganti alamat dompet kripto.
Serangan ini dirancang untuk mengalihkan transaksi tanpa sepengetahuan pengguna. Bahkan jika pengguna menandatangani transaksi yang terlihat benar, dana tersebut mungkin masih pergi ke penyerang. Ekosistem JavaScript berisiko karena seberapa dalam paket-paket ini terintegrasi. Para pengembang didesak untuk mengaudit dan menghapus ketergantungan yang terpengaruh segera.
Dompet Kripto dan Ekosistem dalam Bahaya
Serangan ini berdampak pada banyak dompet berbasis browser dan desktop yang terkenal. Seperti: MetaMask, Trust Wallet, dan Exodus. Dompet perangkat keras tetap lebih aman, namun, pengguna harus tetap memverifikasi detail transaksi dengan cermat. Penyerang menggunakan alamat dompet yang mirip untuk menipu pengguna selama proses penandatanganan.
Hanya pemeriksaan karakter demi karakter yang dapat menemukan perbedaannya. Sebagian besar pengguna hanya memeriksa beberapa karakter pertama dan terakhir dari alamat dompet. Hal itu membuat mereka rentan terhadap taktik penukaran alamat. Skrip otomatis dan kontrak pintar juga berisiko jika mereka bergantung pada pustaka yang telah dikompromikan.
Titik Masuk Adalah Akun Developer yang Terkompromi
Pelanggaran dimulai ketika penyerang menguasai akun pemelihara npm yang tepercaya. Peneliti percaya ini dilakukan dengan menggunakan phishing dan prompt autentikasi dua faktor palsu.
Baru-baru ini, peneliti keamanan siber memperhatikan bahwa hacker menyembunyikan malware dalam kontrak pintar Ethereum melalui paket NPM, menggunakan URL blockchain untuk melewati pemindaian dan mengirimkan muatan tahap kedua. Para penyerang membangun repositori GitHub palsu dengan komit yang dipalsukan dan beberapa akun untuk meningkatkan kredibilitas. Pengguna GitHub melaporkan email mencurigakan yang berpura-pura berasal dari dukungan npm.
Penyerang menggunakan domain yang menyerupai situs web npm yang sebenarnya. Email-email ini mengancam untuk mengunci akun untuk memaksa pengembang mengklik tautan phishing. Setelah dikompromikan, akun tersebut digunakan untuk memperbarui beberapa paket dengan payload berbahaya. Beberapa paket diperbaiki kemudian, tetapi yang lain tetap tidak aman.
Peringatan Keamanan dan Tanggapan Pengembang
Tim keamanan dan peneliti memperingatkan pengguna untuk menghindari aktivitas on-chain untuk saat ini. Pengguna crypto harus menonaktifkan dompet browser dan menghentikan penandatanganan transaksi sementara. Belum ada kerugian besar yang dilaporkan, tetapi risikonya tetap tinggi.
Beberapa platform DeFi, termasuk Axiom dan Kamino, mengonfirmasi bahwa mereka tidak menggunakan paket yang terinfeksi. Namun, pengembang harus memeriksa semua ketergantungan, terutama yang terhubung ke pustaka populer seperti Chalk. Kerentanan semacam ini juga dicatat pada tahun 2024 ketika Hacker mengeksploitasi Lottie Player Java Script, yang mengompromikan dompet di situs DeFi terpercaya seperti 1inch.
Tim npm telah menonaktifkan versi yang diketahui terkompromi, tetapi pembaruan terbaru mungkin masih membawa risiko. Skala penuh dari serangan ini tetap tidak diketahui. Ancaman ini bisa meluas jika lebih banyak akun pengembang menjadi target dengan menggunakan taktik phishing serupa.