Keamanan

BREAKING: Paket NPM Injective Kena Hack, 50 Ribu Developer Terancam

BREAKING: Paket NPM Injective Kena Hack, 50 Ribu Developer Terancam

Key Takeaways

Serangan supply chain menyusup ke paket npm resmi Injective Labs, mencuri private key dan seed phrase wallet kripto. Lebih dari 50.000 developer terdampak dalam insiden yang terungkap Kamis kemarin.

Kronologi Serangan Supply Chain

Dunia kripto kembali diguncang serangan siber serius. Kali ini, blockchain layer-1 Injective menjadi korban serangan supply chain yang menargetkan paket npm (Node Package Manager) resmi mereka. Insiden ini pertama kali terungkap pada Kamis, 10 Juli 2026 oleh firma keamanan Socket, dan langsung menarik perhatian komunitas kripto global.

Menurut laporan Socket, versi 1.20.21 dari paket @injectivelabs/sdk-ts telah dimodifikasi secara jahat melalui akun GitHub seorang developer yang telah dikompromikan. Paket ini memiliki sekitar 50.000 unduhan mingguan dan digunakan secara luas oleh developer yang membangun aplikasi di atas ekosistem Injective.

Bagaimana Malware Bekerja

Kode berbahaya tersebut disisipkan untuk menyadap fungsi derivasi kunci wallet. Setiap kali aplikasi developer menggunakan fungsi normal untuk menghasilkan wallet key, malware secara diam-diam menyalin private key dan seed phrase pengguna. Data yang dicuri kemudian dikirim ke server yang menyamar sebagai infrastruktur resmi Injective Network.

Yang membuat insiden ini semakin mengkhawatirkan, paket berbahaya ini juga di-pin di 17 paket lain dalam cakupan npm Injective Labs. Artinya, developer yang bahkan tidak menginstal SDK secara langsung pun berpotensi terekspos. "Setiap kunci atau mnemonic yang melewati paket yang terpengaruh harus diperlakukan sebagai telah dikompromikan," tegas Socket dalam laporannya.

Respons Tim Injective

CEO Injective Eric Chen segera merespons melalui media sosial X, menyatakan bahwa masalah sudah diperbaiki dan versi npm yang terpengaruh telah didepresiasi. Ia juga menegaskan bahwa tidak ada dana di dalam jaringan Injective yang berisiko. Meski begitu, Socket mencatat bahwa paket berbahaya tersebut telah diunduh lebih dari 310 kali sebelum akhirnya dihapus.

Tren Serangan Supply Chain di Kripto

Insiden ini bukanlah yang pertama. Serangan supply chain di ekosistem kripto semakin sering terjadi. Pada Maret lalu, rilis npm Axios juga menjadi korban serangan serupa. Kemudian pada Mei, kampanye malware bernama TrapDoor ditemukan menargetkan developer kripto, DeFi, AI, dan keamanan. Bahkan GitHub sendiri melaporkan akses tidak sah ke repositori internal mereka pada 20 Mei lalu.

Security Alliance (SEAL) dalam laporan triwulan keduanya mengonfirmasi tren yang mengkhawatirkan ini. Penyerang semakin sering menggunakan platform terpercaya seperti GitHub, npm, dan Google untuk mendistribusikan payload berbahaya. Malware yang digunakan pun semakin komprehensif dengan payload lintas platform.

Dampak dan Kerugian Finansial

Data dari CertiK menunjukkan bahwa kompromi wallet merupakan vektor serangan paling mahal sepanjang paruh pertama 2026, dengan total kerugian mencapai $444 juta dari 33 insiden terpisah. Angka ini menjadi peringatan keras bagi seluruh ekosistem kripto.

Bagi developer yang menggunakan paket Injective, langkah-langkah berikut sangat direkomendasikan: segera periksa dependensi proyek Anda, pastikan menggunakan versi terbaru yang sudah dibersihkan, rotasi semua kunci wallet dan seed phrase yang mungkin terekspos, dan pantau aktivitas wallet secara ketat untuk mendeteksi transaksi mencurigakan.

Insiden ini sekali lagi menegaskan bahwa keamanan di dunia kripto bukan hanya tentang blockchain dan smart contract, tetapi juga tentang seluruh rantai pasok perangkat lunak yang mendukungnya. Developer dan pengguna harus tetap waspada karena ancaman bisa datang dari arah yang paling tidak terduga.

Disclaimer

Artikel ini hanya untuk tujuan informasi dan edukasi. Konten yang disajikan tidak dimaksudkan sebagai nasihat keuangan, investasi, atau trading. Setiap keputusan investasi adalah tanggung jawab pribadi. Selalu lakukan riset mendalam (DYOR - Do Your Own Research) sebelum berinvestasi dalam aset kripto atau digital.

Komentar (0)

Silakan login untuk bergabung dalam diskusi.

Login untuk Komentar