Analisis Kasus Pencurian Aset Pengguna Solana: Paket NPM Berbahaya Mencuri Kunci Pribadi
Pada 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kripto mereka dicuri setelah menggunakan sebuah proyek sumber terbuka di GitHub. Proyek tersebut bernama solana-pumpfun-bot, yang dihosting di platform GitHub.
Tim keamanan segera melakukan penyelidikan. Pertama, mereka memeriksa repositori GitHub proyek tersebut dan menemukan bahwa jumlah Star dan Forknya cukup tinggi, tetapi waktu pengiriman kode terkonsentrasi tiga minggu yang lalu, kurangnya pembaruan yang berkelanjutan menimbulkan kewaspadaan di tim keamanan.
Analisis lebih lanjut menunjukkan bahwa proyek Node.js ini bergantung pada paket pihak ketiga bernama crypto-layout-utils. Namun, paket ini telah dihapus dari NPM resmi, dan versi yang ditentukan tidak muncul dalam riwayat NPM.
Dengan melihat file package-lock.json, tim menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dengan alamat rilis GitHub. Setelah mengunduh dan menganalisis paket ini, ditemukan bahwa ia adalah kode jahat yang sangat tersamarkan.
Setelah deobfuscation, tim keamanan mengonfirmasi bahwa ini adalah paket NPM berbahaya. Paket ini akan memindai file di komputer pengguna, dan begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, ia akan mengunggahnya ke server yang dikendalikan oleh penyerang.
Penelitian juga menemukan bahwa penyerang mungkin mengendalikan beberapa akun GitHub, digunakan untuk Fork proyek jahat dan menyebarkan program jahat, sekaligus meningkatkan jumlah Fork dan Star proyek tersebut, menarik perhatian lebih banyak pengguna.
Beberapa proyek Fork juga menggunakan paket jahat lainnya yaitu bs58-encrypt-utils-1.0.3. Paket jahat ini dibuat pada 12 Juni 2025, diduga penyerang telah mulai mendistribusikan paket NPM jahat dan proyek Node.js sejak saat itu.
Melalui alat analisis on-chain, tim melacak alamat penyerang yang mentransfer dana yang dicuri ke suatu platform perdagangan.
Dalam serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, mengelabui pengguna untuk mengunduh dan menjalankan kode berbahaya. Penyerang juga meningkatkan popularitas proyek, meningkatkan kredibilitasnya. Serangan semacam ini menggabungkan rekayasa sosial dan metode teknis, sehingga sulit untuk sepenuhnya diatasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Aset pengguna Solana dicuri: Paket NPM berbahaya mencuri Kunci Pribadi melalui proyek GitHub
Analisis Kasus Pencurian Aset Pengguna Solana: Paket NPM Berbahaya Mencuri Kunci Pribadi
Pada 2 Juli 2025, seorang pengguna meminta bantuan tim keamanan, mengklaim bahwa aset kripto mereka dicuri setelah menggunakan sebuah proyek sumber terbuka di GitHub. Proyek tersebut bernama solana-pumpfun-bot, yang dihosting di platform GitHub.
Tim keamanan segera melakukan penyelidikan. Pertama, mereka memeriksa repositori GitHub proyek tersebut dan menemukan bahwa jumlah Star dan Forknya cukup tinggi, tetapi waktu pengiriman kode terkonsentrasi tiga minggu yang lalu, kurangnya pembaruan yang berkelanjutan menimbulkan kewaspadaan di tim keamanan.
Analisis lebih lanjut menunjukkan bahwa proyek Node.js ini bergantung pada paket pihak ketiga bernama crypto-layout-utils. Namun, paket ini telah dihapus dari NPM resmi, dan versi yang ditentukan tidak muncul dalam riwayat NPM.
Dengan melihat file package-lock.json, tim menemukan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dengan alamat rilis GitHub. Setelah mengunduh dan menganalisis paket ini, ditemukan bahwa ia adalah kode jahat yang sangat tersamarkan.
Setelah deobfuscation, tim keamanan mengonfirmasi bahwa ini adalah paket NPM berbahaya. Paket ini akan memindai file di komputer pengguna, dan begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, ia akan mengunggahnya ke server yang dikendalikan oleh penyerang.
Penelitian juga menemukan bahwa penyerang mungkin mengendalikan beberapa akun GitHub, digunakan untuk Fork proyek jahat dan menyebarkan program jahat, sekaligus meningkatkan jumlah Fork dan Star proyek tersebut, menarik perhatian lebih banyak pengguna.
Beberapa proyek Fork juga menggunakan paket jahat lainnya yaitu bs58-encrypt-utils-1.0.3. Paket jahat ini dibuat pada 12 Juni 2025, diduga penyerang telah mulai mendistribusikan paket NPM jahat dan proyek Node.js sejak saat itu.
Melalui alat analisis on-chain, tim melacak alamat penyerang yang mentransfer dana yang dicuri ke suatu platform perdagangan.
Dalam serangan ini, penyerang menyamar sebagai proyek sumber terbuka yang sah, mengelabui pengguna untuk mengunduh dan menjalankan kode berbahaya. Penyerang juga meningkatkan popularitas proyek, meningkatkan kredibilitasnya. Serangan semacam ini menggabungkan rekayasa sosial dan metode teknis, sehingga sulit untuk sepenuhnya diatasi.
Disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asal-usulnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif.