Peretasan Supply-Chain Terbesar di NPM Gagal Raup Keuntungan Besar

Serangan supply-chain terbesar dalam sejarah ekosistem NPM sempat mengguncang dunia pengembangan perangkat lunak pekan ini, namun para peretas nyaris tidak mendapat keuntungan berarti.

Kronologi Serangan

Insiden bermula saat akun milik Josh Junon (qix), maintainer beberapa paket populer NPM, berhasil diretas melalui phishing reset password. Penyerang lalu menyusupkan kode berbahaya ke paket terkenal seperti chalk dan debug-js, yang secara kumulatif mencatat lebih dari 2,6 miliar unduhan mingguan.

Malware yang ditanamkan dirancang untuk mencuri aset kripto dengan cara mengalihkan transaksi ke dompet milik penyerang. Namun, komunitas open-source dengan cepat mendeteksi anomali, dan seluruh versi berbahaya berhasil dihapus dalam waktu dua jam.

Dampak Sementara

Menurut riset Wiz, dalam kurun singkat itu, paket berbahaya sempat diunduh oleh sekitar 10% lingkungan cloud. Angka ini menunjukkan betapa cepatnya kode berbahaya bisa menyebar melalui rantai pasok perangkat lunak.

Meski demikian, payload yang disisipkan relatif terbatas pada browser environment. Artinya, penyerang hanya berusaha menyasar transaksi kripto Ethereum dan Solana, tanpa melakukan aksi yang lebih merusak seperti memasang backdoor permanen, melakukan lateral movement, atau meluncurkan malware destruktif.

Keuntungan Minim

Analisis Security Alliance mencatat bahwa para peretas hanya berhasil mengalihkan transaksi senilai $0,05 ETH dan sekitar $20 memecoin. Laporan terpisah dari Socket menambahkan bahwa phishing serupa juga berhasil mengompromikan akun maintainer DuckDB, namun total keuntungan yang ditelusuri dari dompet penyerang hanya sekitar $600 (terdiri dari $429 ETH, $46 Solana, serta jumlah kecil BTC, Tron, BCH, dan LTC).

Dompet kripto yang teridentifikasi kini telah ditandai, sehingga membatasi kemampuan penyerang untuk mencairkan hasil curian.

Pelajaran dari Insiden

Meskipun dampaknya relatif kecil dalam hal finansial, insiden ini memperlihatkan betapa rentannya rantai pasok perangkat lunak open-source. Serangan semacam ini bisa menyebar dalam hitungan jam, memengaruhi jutaan aplikasi dan layanan cloud di seluruh dunia.

Kasus ini menjadi pengingat bahwa keamanan identitas maintainer dan praktik verifikasi kode sangat krusial dalam menjaga ekosistem perangkat lunak tetap aman.

Sumber: Wiz, Security Alliance, Socket