Peretas berhasil menyusupi pustaka perangkat lunak JavaScript yang banyak digunakan, menyisipkan malware yang dirancang untuk mencuri aset kripto dengan cara menukar alamat wallet dan mencegat transaksi.

Menurut laporan pada Senin, para hacker berhasil membobol akun Node Package Manager (NPM) milik seorang developer terkenal dan diam-diam menambahkan kode berbahaya ke dalam pustaka JavaScript populer yang digunakan oleh jutaan aplikasi.

Kode jahat ini berfungsi menukar atau membajak alamat wallet kripto, sehingga berpotensi membahayakan banyak proyek.

“Ada serangan supply chain skala besar yang sedang berlangsung: akun NPM milik seorang developer terpercaya telah dikompromikan,” ujar Charles Guillemet, Chief Technology Officer Ledger. “Paket yang terinfeksi sudah diunduh lebih dari 1 miliar kali, artinya seluruh ekosistem JavaScript kini terancam.”

Paket yang menjadi target termasuk chalk, strip-ansi, dan color-convert — utilitas kecil yang tertanam dalam rantai dependensi tak terhitung banyaknya proyek. Bersama-sama, pustaka ini diunduh lebih dari 1 miliar kali setiap minggu, sehingga bahkan developer yang tidak pernah menginstalnya secara langsung pun bisa ikut terdampak.

NPM berfungsi layaknya app store untuk developer — repositori utama tempat berbagi dan mengunduh paket kode kecil untuk membangun proyek JavaScript.

Serangan ini diduga menyisipkan crypto-clipper, sejenis malware yang diam-diam mengganti alamat wallet saat transaksi agar dana mengalir ke peretas.

Para peneliti keamanan memperingatkan bahwa pengguna software wallet paling rentan, sementara mereka yang menggunakan hardware wallet dengan konfirmasi manual masih relatif aman.

Pengguna Diminta Hindari Transaksi Kripto Sementara

Pendiri DefiLlama, Oxngmi, lewat postingan di X menyebut bahwa kode berbahaya ini tidak otomatis menguras wallet — pengguna tetap harus menyetujui transaksi berbahaya tersebut.

Namun, karena paket JavaScript yang terinfeksi bisa memodifikasi aksi tombol di sebuah situs, menekan tombol “swap” di situs terdampak bisa mengubah detail transaksi dan mengirim dana ke peretas.

Hanya proyek yang melakukan pembaruan setelah paket terkompromi yang berisiko, sedangkan developer yang “mem-pin” dependensi mereka ke versi lama yang aman masih terlindungi.

Tetap saja, karena pengguna sulit membedakan mana situs yang sudah aman, disarankan untuk menunda transaksi kripto hingga paket terinfeksi benar-benar dibersihkan.

Modus Serangan Lewat Email Phishing

Penyerang mengirim email palsu seolah-olah berasal dari dukungan resmi NPM, memperingatkan bahwa akun maintainer akan dikunci jika mereka tidak memperbarui autentikasi dua faktor sebelum 10 September.

Situs palsu tersebut merekam kredensial login, memberi akses penuh bagi peretas ke akun maintainer. Setelah masuk, mereka mendorong pembaruan berbahaya ke paket yang diunduh miliaran kali setiap minggu.

Charlie Eriksen, peneliti dari Aikido Security, mengatakan serangan ini sangat berbahaya karena bekerja “pada banyak lapisan: mengubah konten di situs web, memanipulasi panggilan API, hingga menyesatkan aplikasi pengguna terkait transaksi yang mereka tandatangani.”