SDK Injective di npm Disusupi Malware Pencuri Wallet Kripto, Pengembang Diminta Segera Ganti Private Key

Peneliti keamanan siber mengungkap serangan software supply chain yang menargetkan Injective Labs SDK di Node Package Manager (npm). Pelaku berhasil menyusupkan kode berbahaya ke dalam salah satu paket resmi yang digunakan untuk mengembangkan aplikasi berbasis blockchain Injective.
Paket yang telah disusupi tersebut diketahui mencuri private key serta mnemonic seed phrase dompet kripto milik pengembang ketika fungsi tertentu dijalankan.
Menyerang SDK Resmi Injective
Serangan ini terdeteksi oleh perusahaan keamanan aplikasi:
- Socket
- Ox Security
- StepSecurity
Mereka menemukan bahwa paket:
- @injectivelabs/sdk-ts versi 1.20.21
telah dimodifikasi sehingga mengandung malware.
Injective SDK sendiri merupakan Software Development Kit (SDK) berbasis TypeScript dan JavaScript yang digunakan untuk membangun aplikasi di jaringan Injective, blockchain Layer-1 yang berfokus pada:
- Decentralized Finance (DeFi).
- Tokenisasi aset.
- Decentralized Exchange (DEX).
Paket tersebut memiliki sekitar 50.000 unduhan per minggu di npm.
Akun Kontributor GitHub Berhasil Dibajak
Berdasarkan hasil investigasi, pelaku berhasil mengambil alih akun GitHub milik salah satu kontributor resmi proyek.
Aktivitas mencurigakan pertama muncul pada 8 Juni 2026, kemudian tidak lama setelah itu pelaku menerbitkan versi berbahaya ke npm.
Selain paket utama, pelaku juga merilis versi 1.20.21 pada 17 paket lain yang berkaitan dengan proyek tersebut dengan mengarahkan seluruhnya ke SDK yang telah disusupi.
Pemilik akun berhasil menyadari insiden tersebut hanya beberapa menit kemudian, membatalkan perubahan, dan menerbitkan versi bersih:
- 1.20.23
Meski demikian, pengembang yang sempat memperbarui dependensi ke versi berbahaya kemungkinan telah terdampak.
Malware Aktif Saat Membuat Wallet
Berbeda dengan banyak malware npm lainnya, kode berbahaya ini tidak aktif saat proses instalasi.
Malware baru dijalankan ketika aplikasi memanggil fungsi SDK untuk:
- Membuat wallet baru.
- Mengimpor wallet yang sudah ada.
Saat fungsi tersebut dipanggil, malware akan mengambil:
- Mnemonic seed phrase.
- Private key.
Data tersebut kemudian dikodekan menggunakan Base64 sebelum dikirim ke server pelaku.
Menyamar Menggunakan Infrastruktur Resmi
Agar aktivitasnya tidak mudah terdeteksi, malware mengirimkan data hasil pencurian melalui HTTP POST menuju endpoint publik milik Injective Labs.
Pendekatan ini membuat lalu lintas jaringan tampak seperti komunikasi normal dengan layanan resmi.
StepSecurity juga menemukan bahwa malware tidak langsung mengirim setiap data yang dicuri.
Sebaliknya, malware akan:
- Mengumpulkan beberapa private key dan seed phrase.
- Menunggu sekitar dua detik.
- Mengirim seluruh data sekaligus melalui header permintaan HTTP.
Berpotensi Berdampak Luas
Socket mencatat paket berbahaya tersebut sempat diunduh sekitar:
- 310 kali
sebelum akhirnya dihentikan distribusinya.
Namun paket tersebut tidak dihapus sepenuhnya, dan artefak rilis berbahaya di GitHub masih tersedia.
Selain itu, paket ini memiliki:
- 87 dependensi langsung di npm.
Menurut Ox Security, keseluruhan paket yang bergantung pada SDK tersebut memiliki total unduhan lebih dari:
- 112.000 kali
Hal ini menunjukkan potensi dampak yang jauh lebih luas dibandingkan jumlah unduhan paket utama.
Pengembang Diminta Segera Memindahkan Aset
Peneliti keamanan menyarankan pengembang yang merasa pernah menggunakan versi berbahaya agar segera:
- Memindahkan seluruh aset kripto ke wallet baru.
- Membuat private key dan mnemonic seed phrase baru.
- Mengganti seluruh kredensial maupun secret yang tersimpan di lingkungan pengembangan.
Karena private key dan seed phrase memungkinkan pelaku mengakses dompet korban secara penuh, langkah mitigasi harus dilakukan sesegera mungkin.
Insiden ini kembali menunjukkan besarnya risiko serangan software supply chain terhadap ekosistem pengembangan aplikasi blockchain. Pengembang disarankan untuk selalu memantau pembaruan dependensi, menerapkan verifikasi paket, serta menggunakan solusi keamanan yang mampu mendeteksi perubahan mencurigakan pada library pihak ketiga sebelum diterapkan ke lingkungan produksi.
Sumber: Socket








