Eksploitasi rantai pasokan NPM adalah kompromi skala besar terhadap paket JavaScript terkemuka yang dapat diam-diam menukar alamat crypto selama transaksi dan mencuri dana. Pengguna harus menghindari menandatangani transaksi, mengaudit paket yang terintegrasi, serta segera memperbarui atau menghapus modul yang terdampak untuk mengurangi risiko.
-
Penukaran alamat berbahaya di dompet web menargetkan transaksi crypto.
-
Paket yang dikompromikan termasuk modul NPM yang banyak digunakan seperti “color-name” dan “color-string.”
-
Paket yang terdampak telah diunduh lebih dari 1 miliar kali, meningkatkan eksposur lintas rantai.
Eksploitasi rantai pasokan NPM: HENTIKAN menandatangani transaksi sekarang—verifikasi paket dan amankan dompet. Pelajari langkah perlindungan segera.
Apa itu eksploitasi rantai pasokan NPM?
Eksploitasi rantai pasokan NPM adalah kompromi terhadap akun pengembang terkemuka yang menyuntikkan payload berbahaya ke dalam paket JavaScript. Payload ini dapat diam-diam menukar alamat cryptocurrency di dompet web dan dApps, sehingga dana di berbagai chain menjadi berisiko.
Bagaimana paket JavaScript bisa dikompromikan?
Peneliti keamanan dan pakar industri melaporkan bahwa akun pengembang terkemuka di NPM telah dibobol, memungkinkan penyerang menerbitkan pembaruan yang telah terinfeksi. Kode berbahaya ini dirancang untuk berjalan di konteks browser yang digunakan oleh situs web crypto dan dapat mengubah alamat tujuan saat transaksi berlangsung.
Paket dan komponen mana saja yang terdampak?
Perusahaan keamanan blockchain mengidentifikasi sekitar dua lusin paket NPM populer yang terdampak, termasuk modul utilitas kecil seperti “color-name” dan “color-string.” Karena NPM adalah manajer paket utama untuk JavaScript, banyak situs web dan proyek front-end yang menarik dependensi ini secara transitif.
| color-name | Ratusan juta | Tinggi |
| color-string | Ratusan juta | Tinggi |
| Modul utilitas lain (kolektif) | 1+ miliar gabungan | Kritis |
Bagaimana pengguna crypto dapat melindungi dana saat ini?
Langkah segera: hentikan menandatangani transaksi di dompet web, putuskan koneksi dompet browser dari dApps, dan hindari interaksi dengan situs yang menggunakan JavaScript yang belum diverifikasi. Validasi integritas paket di lingkungan pengembangan dan terapkan aturan Content Security Policy (CSP) yang ketat pada situs yang Anda kelola.
Tindakan pencegahan apa yang harus diambil pengembang?
Pengembang harus mengunci versi dependensi, memverifikasi tanda tangan paket jika tersedia, menjalankan alat pemindaian rantai pasokan, dan mengaudit pembaruan paket terbaru. Mengembalikan ke versi yang sudah diketahui aman dan membangun ulang dari lockfile dapat mengurangi risiko. Gunakan build yang dapat direproduksi dan verifikasi independen untuk pustaka front-end yang kritis.
Pertanyaan yang Sering Diajukan
Seberapa segera ancaman ini bagi pengguna crypto sehari-hari?
Ancaman ini sangat segera bagi pengguna yang berinteraksi dengan dompet web atau dApps yang memuat JavaScript dari paket publik. Jika sebuah situs bergantung pada modul yang terinfeksi, kode penukar alamat dapat dijalankan di browser selama proses transaksi.
Siapa yang mengidentifikasi kompromi ini dan apa yang mereka katakan?
CTO Ledger Charles Guillemet secara publik menandai masalah ini, menyoroti skala dan mekanisme penukaran alamat. Perusahaan keamanan blockchain juga melaporkan modul yang terdampak. Pengamatan ini berasal dari postingan publik dan peringatan keamanan yang dilaporkan oleh pakar industri.
Poin Penting
- Hentikan menandatangani transaksi: Hindari menandatangani di dompet web sampai paket diverifikasi.
- Audit dependensi: Pengembang harus mengunci, menandatangani, dan memindai paket NPM yang digunakan dalam kode front-end.
- Gunakan langkah defensif: Putuskan koneksi dompet, bersihkan sesi, dan gunakan CSP serta alat pemindaian rantai pasokan.
Kesimpulan
Eksploitasi rantai pasokan NPM menunjukkan bagaimana paket utilitas kecil dapat menimbulkan risiko sistemik bagi pengguna crypto dengan memungkinkan penggantian alamat secara diam-diam. Tetap waspada: hentikan menandatangani transaksi, audit dependensi, dan ikuti peringatan yang telah diverifikasi. COINOTAG akan memperbarui laporan ini seiring lebih banyak detail teknis dan solusi yang dikonfirmasi dipublikasikan (dipublikasikan 2025-09-08).
