Analisis Kasus Serangan Paket Jahat NPM pada Ekosistem Solana

Pada awal Juli 2025, ekosistem Solana mengalami insiden keamanan yang disebabkan oleh paket NPM jahat, yang mengakibatkan beberapa aset pengguna dicuri. Artikel ini akan menganalisis secara rinci latar belakang dan perkembangan insiden tersebut.

Penyebab Peristiwa

Kejadian ini berasal dari sebuah proyek open source yang dihosting di GitHub bernama "solana-pumpfun-bot". Proyek ini tampaknya adalah sebuah robot perdagangan di ekosistem Solana, tetapi sebenarnya mengandung kode berbahaya. Seorang pengguna setelah menggunakan proyek ini, mendapati aset kriptonya secara misterius hilang, dan segera meminta bantuan tim keamanan.

Analisis Teknikal

Peneliti keamanan melakukan penyelidikan mendalam terhadap proyek ini dan menemukan masalah kunci berikut:

1. Proyek aneh: Jumlah Star dan Fork di repositori GitHub ini cukup tinggi, tetapi catatan pengiriman kode terkonsentrasi dalam waktu singkat, kurang memiliki karakter pembaruan yang berkelanjutan.

2. Ketergantungan jahat: Proyek ini mengacu pada paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils". Paket ini telah dihapus oleh NPM resmi, dan nomor versinya tidak ada dalam riwayat NPM.

3. Tautan unduh paket diganti: Dalam file package-lock.json, tautan unduh untuk "crypto-layout-utils" diganti dengan tautan rilis GitHub.

4. Obfuscation kode: Paket yang mencurigakan yang diunduh telah sangat diobfuscate menggunakan jsjiami.com.v7, meningkatkan kesulitan analisis.

5. Perilaku jahat: Setelah deobfuscation, peneliti menemukan bahwa paket tersebut akan memindai file sensitif di komputer pengguna, dan jika menemukan konten terkait dompet atau kunci pribadi, akan mengunggahnya ke server yang dikendalikan oleh penyerang.

6. Jangkauan serangan meluas: Penyerang diduga mengendalikan beberapa akun GitHub, digunakan untuk Fork proyek jahat dan meningkatkan jumlah Star, untuk menarik lebih banyak pengguna.

7. Beberapa versi jahat: Penelitian menemukan bahwa ada paket jahat lain "bs58-encrypt-utils", diduga aktivitas serangan mungkin telah dimulai sejak pertengahan Juni 2025.

8. Aliran dana: Melalui alat analisis on-chain untuk melacak, sebagian dana yang dicuri telah dipindahkan ke suatu platform perdagangan.

Ringkasan Metode Serangan

Penyerang menyamar sebagai proyek sumber terbuka yang sah, memicu pengguna untuk mengunduh dan menjalankan proyek Node.js yang mengandung ketergantungan berbahaya. Penyerang juga memanfaatkan beberapa akun GitHub untuk berkolaborasi, meningkatkan kredibilitas proyek dan jangkauannya. Metode serangan yang menggabungkan rekayasa sosial dan teknik ini sangat menipu dan sulit untuk dicegah.

Saran Keamanan

1. Hati-hati dengan proyek GitHub yang sumbernya tidak jelas, terutama proyek yang melibatkan dompet atau operasi kunci privat.

2. Saat menjalankan dan menguji proyek yang tidak diketahui, disarankan untuk menggunakan lingkungan yang terpisah dan tidak mengandung data sensitif.

3. Secara berkala memeriksa ketergantungan proyek, memperhatikan pengumuman keamanan dari platform manajemen paket seperti NPM.

4. Gunakan alat dan layanan keamanan yang dapat diandalkan untuk mendeteksi ancaman potensial dengan tepat waktu.

5. Memperkuat pelatihan kesadaran keamanan bagi tim pengembang, meningkatkan kewaspadaan.

Peristiwa ini sekali lagi mengingatkan kita bahwa dalam ekosistem Web3, keamanan selalu menjadi prioritas utama. Pengembang dan pengguna perlu tetap waspada dan bersama-sama menjaga keamanan ekosistem.