Peretasan npm: Paket dengan 2,6 Miliar Unduhan Mingguan Disusupi Malware dalam Serangan Supply Chain

Komunitas pengembang JavaScript kembali diguncang dengan adanya serangan supply chain terhadap ekosistem npm. Para peretas berhasil menyusupkan kode berbahaya ke dalam sejumlah paket populer dengan total lebih dari 2,6 miliar unduhan per minggu, setelah berhasil membajak akun salah satu maintainer melalui serangan phishing.

Akun yang menjadi korban adalah milik Josh Junon (qix), pengelola beberapa paket npm populer. Ia mengonfirmasi bahwa akunnya diretas melalui email phishing yang mengaku berasal dari “[email protected]”, sebuah domain palsu yang menyerupai npmjs.com. Email tersebut menakut-nakuti maintainer dengan ancaman bahwa akun mereka akan dikunci pada 10 September 2025 jika tidak memperbarui kredensial 2FA, sehingga mendorong korban untuk mengklik tautan ke situs phishing.

Bagaimana Serangan Ini Berjalan

Menurut analisis Aikido Security, setelah mendapatkan kendali, peretas memperbarui sejumlah paket dengan menyuntikkan kode jahat ke file index.js. Malware ini bertindak sebagai interceptor berbasis browser, menyusup ke aplikasi web dan memantau aktivitas kripto seperti alamat wallet maupun transaksi.

Fungsionalitas berbahaya tersebut bekerja dengan cara:

• Menyusup ke dalam fungsi JavaScript seperti fetch, XMLHttpRequest, serta API dompet (window.ethereum, Solana, dll.).
• Memodifikasi respons jaringan yang mengandung transaksi kripto.
• Mengganti alamat tujuan transaksi dengan alamat dompet milik penyerang sebelum transaksi ditandatangani.

Dampaknya, dana dalam mata uang Ethereum, Bitcoin, Solana, Tron, Litecoin, hingga Bitcoin Cash berisiko dialihkan ke dompet peretas tanpa terlihat mencurigakan bagi pengguna.

Paket-Paket yang Terdampak

Beberapa paket populer yang disusupi di antaranya:

• chalk (299,9 juta unduhan/minggu)
• debug (357,6 juta unduhan/minggu)
• ansi-styles (371,4 juta unduhan/minggu)
• supports-color (287,1 juta unduhan/minggu)
• strip-ansi (261,1 juta unduhan/minggu)
• wrap-ansi (197,9 juta unduhan/minggu)
• ansi-regex (243,6 juta unduhan/minggu)
  dan lebih dari selusin paket lain yang lazim digunakan pengembang web di seluruh dunia.

Tim npm segera menghapus beberapa versi berbahaya begitu serangan terdeteksi. Namun, pengguna yang melakukan instalasi baru antara pukul 09.00 hingga 11.30 ET pada hari insiden terjadi, dan menghasilkan package-lock.json saat itu, berisiko terdampak jika paket rentan masuk dalam dependensi proyek mereka.

Tren Serangan Supply Chain Meningkat

Serangan ini menambah daftar panjang insiden serupa yang menargetkan pustaka JavaScript populer. Sebelumnya, pada Juli 2025, paket eslint-config-prettier dengan lebih dari 30 juta unduhan mingguan juga disusupi. Pada Maret, sepuluh paket npm lainnya dibajak dan diubah menjadi pencuri informasi (info-stealer).

Fenomena ini menunjukkan bahwa browser kini menjadi permukaan serangan utama, baik untuk mencuri kredensial, memodifikasi lalu lintas jaringan, maupun menyusup ke sistem internal.

Sumber: BleepingComputer