Analisis Kasus Pencurian Kunci Pribadi Pengguna oleh Paket NPM Berbahaya di Ekosistem Solana

Pada awal Juli 2025, sebuah insiden serangan yang menargetkan pengguna ekosistem Solana menarik perhatian tim keamanan. Seorang pengguna menemukan bahwa aset kriptonya dicuri setelah menggunakan sebuah proyek sumber terbuka di GitHub. Setelah penyelidikan mendalam, para ahli keamanan mengungkapkan sebuah rantai serangan yang direncanakan dengan cermat.

Penyerang menyamar sebagai proyek sumber terbuka yang sah, bernama "solana-pumpfun-bot". Repositori GitHub proyek ini tampak normal, dengan jumlah Star dan Fork yang tinggi. Namun, setelah diperhatikan dengan seksama, semua waktu pengiriman kode terkonsentrasi tiga minggu yang lalu, dan tidak ada tanda-tanda pembaruan yang berkelanjutan.

Analisis lebih lanjut menemukan bahwa proyek ini bergantung pada paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket tersebut telah dihapus oleh NPM resmi, dan versi yang ditentukan tidak ada dalam catatan resmi. Penyerang mengganti tautan unduhan paket dependensi dengan alamat repositori GitHub yang mereka kendalikan dengan memodifikasi file package-lock.json.

Paket NPM jahat ini sangat terobfuscate, di dalamnya mengimplementasikan logika untuk memindai file komputer pengguna. Begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, akan menguploadnya ke server yang dikendalikan oleh penyerang.

Para penyerang juga mengambil serangkaian langkah untuk meningkatkan kredibilitas proyek. Mereka mengendalikan beberapa akun GitHub untuk Fork proyek jahat dan mendistribusikannya, sambil meningkatkan jumlah Fork dan Star proyek, menarik lebih banyak perhatian pengguna.

Selain "crypto-layout-utils", paket jahat lain yang bernama "bs58-encrypt-utils" juga digunakan untuk serangan serupa. Ini menunjukkan bahwa penyerang telah mengubah strategi serangan setelah paket tersebut dihapus dari NPM, beralih ke cara mengganti tautan unduhan untuk terus mendistribusikan kode jahat.

Melalui alat analisis on-chain, ditemukan bahwa sebagian dari dana yang dicuri telah dipindahkan ke suatu platform perdagangan.

Insiden serangan kali ini mengungkap risiko potensial yang dihadapi oleh komunitas sumber terbuka. Penyerang menyamar sebagai proyek yang sah dan menggunakan kombinasi rekayasa sosial dan teknik, berhasil mengelabui pengguna untuk menjalankan kode berbahaya, sehingga mengakibatkan kebocoran Kunci Pribadi dan pencurian aset.

Para ahli keamanan menyarankan pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak diketahui sumbernya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tidak mengandung data sensitif.

Kejadian ini sekali lagi mengingatkan kita bahwa dalam dunia sumber terbuka yang terdesentralisasi, kesadaran dan kewaspadaan pengguna sangat penting. Pada saat yang sama, juga menyerukan kepada pihak platform dan komunitas untuk memperkuat pengawasan terhadap proyek-proyek jahat dan mekanisme respons cepat, bersama-sama menjaga ekosistem blockchain yang lebih aman.