- Topik
37k Popularitas
13k Popularitas
7k Popularitas
16k Popularitas
62k Popularitas
31k Popularitas
2k Popularitas
96k Popularitas
27k Popularitas
27k Popularitas
- Sematkan
37k Popularitas
13k Popularitas
7k Popularitas
16k Popularitas
62k Popularitas
31k Popularitas
2k Popularitas
96k Popularitas
27k Popularitas
27k Popularitas
Pengguna Solana mengalami pencurian Kunci Pribadi, paket NPM jahat menjadi dalang di baliknya
Pengguna Solana mengalami insiden pencurian Kunci Pribadi, paket NPM jahat menjadi biang keladi
Pada awal Juli 2025, sebuah kejadian pencurian aset yang menargetkan pengguna Solana menarik perhatian para ahli keamanan. Kejadian ini berawal dari korban yang menggunakan proyek sumber terbuka bernama solana-pumpfun-bot yang dihosting di GitHub, dan kemudian aset kripto dicuri.
Setelah tim keamanan melakukan penyelidikan, ditemukan bahwa meskipun proyek ini memiliki jumlah Star dan Fork yang tinggi, waktu pengiriman kode sangat terpusat dan kurang menunjukkan karakteristik pembaruan yang berkelanjutan. Analisis lebih lanjut mengungkapkan bahwa proyek ini bergantung pada paket pihak ketiga yang mencurigakan yaitu crypto-layout-utils, yang telah dihapus dari NPM resmi.
Peneliti menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils di file package-lock.json dengan versi dari repositori GitHub. Versi ini sangat terobfuscate, dan sebenarnya adalah paket NPM berbahaya yang dapat memindai file sensitif di komputer pengguna dan mengunggah konten yang mengandung Kunci Pribadi ke server yang dikendalikan oleh penyerang.
Penyerang mungkin juga mengendalikan beberapa akun GitHub, digunakan untuk Fork proyek jahat dan meningkatkan kredibilitasnya. Selain crypto-layout-utils, juga ditemukan paket jahat lain bernama bs58-encrypt-utils yang terlibat dalam serangan tersebut.
Melalui alat analisis on-chain, tim keamanan melacak sebagian dana yang dicuri mengalir ke suatu platform perdagangan.
Peristiwa ini menyoroti risiko keamanan yang tersembunyi dalam proyek sumber terbuka. Penyerang berhasil menyamar sebagai proyek yang sah, menggabungkan rekayasa sosial dan teknik, berhasil membujuk pengguna untuk menjalankan kode yang membawa ketergantungan berbahaya, yang mengakibatkan kebocoran Kunci Pribadi dan kerugian aset.
Para ahli keamanan menyarankan pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan operasi dompet atau Kunci Pribadi. Jika perlu melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.
Kejadian ini melibatkan beberapa repositori GitHub dan paket NPM yang berbahaya, tim keamanan telah mengumpulkan informasi terkait untuk referensi. Seiring dengan evolusi metode serangan, pengguna harus lebih berhati-hati saat menggunakan proyek sumber terbuka untuk mencegah potensi ancaman keamanan.