Serangan rantai pasokan terbesar dalam sejarah menargetkan pengguna crypto melalui paket JavaScript yang telah dikompromikan

Sebuah serangan siber baru secara diam-diam menargetkan crypto dari pengguna selama transaksi di tengah insiden yang oleh peneliti keamanan digambarkan sebagai serangan rantai pasokan terbesar dalam sejarah.

BleepingComputer melaporkan bahwa peretas telah mengkompromikan akun pemelihara paket NPM melalui email phishing dan menyuntikkan malware yang mencuri crypto.

Serangan ini menargetkan pengembang JavaScript dengan email palsu yang tampak berasal dari “support@npmjs.help,” sebuah domain tiruan yang meniru registri NPM yang sah.

Pesan phishing memperingatkan para pemelihara bahwa akun mereka akan dikunci pada 10 September, kecuali mereka memperbarui kredensial otentikasi dua faktor melalui tautan berbahaya.

Penyerang berhasil mengkompromikan 18 paket JavaScript yang banyak digunakan dengan total unduhan mingguan melebihi 2,6 miliar.

Perpustakaan yang dikompromikan mencakup alat pengembangan fundamental seperti “chalk” (300 juta unduhan mingguan), “debug” (358 juta), dan “ansi-styles” (371 juta), yang memengaruhi hampir seluruh ekosistem JavaScript.

Menargetkan crypto

Kode berbahaya ini beroperasi sebagai interceptor berbasis browser, memantau lalu lintas jaringan untuk transaksi crypto di seluruh jaringan Ethereum, Bitcoin, Solana, Tron, Litecoin, dan Bitcoin Cash.

Saat pengguna memulai transfer crypto, malware diam-diam mengganti alamat dompet tujuan dengan akun yang dikendalikan penyerang sebelum penandatanganan transaksi.

Peneliti Aikido Security, Charlie Eriksen, menjelaskan:

“Yang membuatnya berbahaya adalah karena ia beroperasi di beberapa lapisan: mengubah konten yang ditampilkan di situs web, mengutak-atik panggilan API, dan memanipulasi apa yang diyakini aplikasi pengguna sedang mereka tanda tangani.”

CTO Ledger, Charles Guillemet, memperingatkan pengguna crypto tentang ancaman yang sedang berlangsung, mencatat bahwa ekosistem JavaScript mungkin telah dikompromikan mengingat angka unduhan yang sangat besar.

Pengguna hardware wallet tetap terlindungi jika mereka memverifikasi detail transaksi sebelum menandatangani, sementara pengguna software wallet menghadapi risiko yang lebih tinggi. Guillemet menyarankan:

“Jika Anda tidak menggunakan hardware wallet, hindari melakukan transaksi on-chain untuk saat ini.”

Ia juga mencatat ketidakpastian apakah penyerang dapat secara langsung mengekstrak seed phrase dari software wallet.

Penargetan yang canggih

Serangan ini merupakan penargetan rantai pasokan yang canggih di mana pelaku kejahatan mengkompromikan infrastruktur pengembangan tepercaya untuk mencapai pengguna akhir.

Dengan menyusup ke paket yang diunduh miliaran kali setiap minggu, penyerang memperoleh akses yang belum pernah terjadi sebelumnya ke aplikasi cryptocurrency dan antarmuka wallet.

BleepingComputer mengidentifikasi infrastruktur phishing yang mengekstrak kredensial ke “websocket-api2.publicvm.com,” menunjukkan sifat operasi yang terkoordinasi.

Insiden ini mengikuti kompromi perpustakaan JavaScript serupa sepanjang tahun 2025, termasuk serangan pada bulan Juli terhadap “eslint-config-prettier,” yang memiliki 30 juta unduhan mingguan, dan kompromi pada bulan Maret yang memengaruhi sepuluh perpustakaan NPM populer.

Artikel Largest supply chain attack in history targets crypto users through compromised JavaScript packages pertama kali muncul di CryptoSlate.