Catatan Utama
- Kode berbahaya disuntikkan ke dalam paket @ensdomains antara 21-23 November menargetkan kredensial pengembang di GitHub, npm, dan layanan cloud.
- Serangan menyebar melalui akun maintainer yang telah dikompromikan, secara otomatis dieksekusi selama perintah instalasi standar.
- Paket yang terdampak termasuk gate-evm-check-code2, create-hardhat3-app, ethereum-ens, dan lebih dari 40 pustaka dalam lingkup @ensdomains.
Paket perangkat lunak Ethereum Name Service ENS $11.61 volatilitas 24 jam: 4.0% Kapitalisasi pasar: $439.48 M Volume 24 jam: $72.23 M telah dikompromikan dalam serangan siber rantai pasokan yang mempengaruhi lebih dari 400 pustaka kode di npm, sebuah platform tempat pengembang berbagi dan mengunduh alat perangkat lunak. ENS Labs mengatakan aset pengguna dan nama domain tampaknya tidak terpengaruh.
Tim mendeteksi bahwa paket yang diawali dengan @ensdomains terdampak sekitar pukul 5:49 pagi UTC pada 24 November dan sejak itu telah memperbarui versi paket sambil mengganti kredensial keamanan, menurut ENS Labs. Situs web yang dioperasikan ENS termasuk app.ens.domains tidak menunjukkan tanda-tanda dampak.
Kami telah mengidentifikasi bahwa beberapa paket npm yang diawali dengan @ensdomains yang dipublikasikan sekitar pukul 5:49 pagi UTC hari ini mungkin terdampak oleh serangan rantai pasokan Sha1-Hulud yang telah mengkompromikan lebih dari 400 pustaka NPM, termasuk beberapa paket ENS.
Tim telah memperbarui semua tag terbaru dan…
— ens.eth (@ensdomains) 24 November 2025
Serangan ini juga mengkompromikan paket dari Zapier, PostHog, Postman, dan AsyncAPI, menurut Aikido Security, yang pertama kali mendeteksi kampanye ini pada 24 November.
Paket Crypto di Antara Korban
Beberapa pustaka pengembangan blockchain turut terjebak dalam serangan luas ini. Paket yang terdampak termasuk gate-evm-check-code2 dan evm-checkcode-cli yang digunakan untuk verifikasi bytecode smart contract, create-hardhat3-app untuk scaffolding proyek Ethereum ETH $2 964 volatilitas 24 jam: 4.8% Kapitalisasi pasar: $357.84 B Volume 24 jam: $32.76 B, dan coinmarketcap-api untuk integrasi data harga.
Pustaka crypto lain yang terdampak termasuk ethereum-ens dan crypto-addr-codec, yang menangani pengkodean alamat cryptocurrency. Lebih dari 40 paket dalam lingkup @ensdomains telah dikompromikan.
Insiden ini mengingatkan pada backdoor yang ditemukan di paket XRP Ledger pada bulan April, di mana kode berbahaya disuntikkan ke xrpl.js untuk mencuri private key.
Cara Kerja Serangan
Paket berbahaya diunggah ke npm antara 21-23 November. Malware menyebar dengan mengkompromikan akun maintainer dan menyuntikkan kode ke dalam paket mereka. Ini dieksekusi secara otomatis ketika pengembang menjalankan perintah instalasi standar.
Malware mengumpulkan kata sandi pengembang dan token akses dari GitHub, npm, dan layanan cloud utama. Ia mempublikasikan data yang dicuri ke repositori GitHub publik dan membuat titik akses tersembunyi di mesin yang terinfeksi untuk serangan di masa depan.
Pencarian di GitHub menunjukkan 26.300 repositori kini berisi kredensial yang dicuri, tersebar di sekitar 350 akun yang dikompromikan. Jumlah ini terus bertambah karena serangan masih aktif.
Peneliti Koi Security menemukan ancaman tambahan. Jika malware tidak dapat mencuri kredensial atau mengirim data keluar, ia akan menghapus semua file di direktori home pengguna.
Tanggapan Pengembang
ENS Labs menyatakan bahwa pengembang yang tidak menginstal paket ENS dalam waktu 11 jam sejak deteksi pukul 5:49 pagi UTC kemungkinan besar tidak terpengaruh. Mereka yang menginstal dalam rentang waktu tersebut harus menghapus folder node_modules mereka, membersihkan cache npm, dan mengganti semua kredensial.
Insiden ini mengikuti serangkaian pelanggaran keamanan crypto yang telah menguji proyek infrastruktur tahun ini. GitHub secara aktif menghapus repositori yang dibuat penyerang, meskipun yang baru terus bermunculan.
next
