Pembaruan Berbahaya pada Paket Pengembang Injective
Sebuah pembaruan berbahaya pada paket pengembang Injective telah mengekspos kunci pribadi dan frasa pemulihan setelah diunduh lebih dari 300 kali, menurut temuan dari Socket. Versi 1.20.21 dari paket npm, yang memiliki sekitar 50.000 unduhan mingguan, telah dimodifikasi setelah akun GitHub seorang pengembang terkompromi.
Detail Serangan
Komitmen mencurigakan mulai muncul pada 8 Juni, dan rilis berbahaya tersebut kemudian dipasang di 17 paket lain di bawah ruang lingkup npm Injective Labs. Perusahaan keamanan tersebut menyatakan bahwa kode tersebut mengintersepsi fungsi pembuatan kunci dompet, merekam kunci pribadi dan frasa pemulihan, kemudian mengkodekan data dan mengirimkannya melalui telemetri palsu ke alamat web yang dibuat untuk menyerupai server Injective.
“Setiap kunci atau mnemonik yang melewati paket yang terpengaruh harus dianggap terkompromi,” kata Socket, memperingatkan bahwa aplikasi mungkin telah terpapar meskipun tidak menginstal SDK secara langsung.
Tindakan Perbaikan
Meskipun pengembang yang terkompromi mendeteksi intrusi dengan cepat dan versi paket berbahaya telah dihapus, Socket mengatakan kampanye tersebut belum sepenuhnya teratasi. CEO Injective, Eric Chen, menyatakan bahwa rilis npm yang terpengaruh telah dinyatakan tidak berlaku dan masalah tersebut telah diperbaiki. Chen menambahkan bahwa tidak ada dana di jaringan Injective yang berisiko, sementara Socket tidak melaporkan apakah malware tersebut mengakibatkan pencurian aset.
Tren Serangan di Dunia Pengembang
Alih-alih menyerang kriptografi blockchain atau kontrak pintar, operasi ini menargetkan perangkat lunak yang digunakan pengembang untuk membangun dompet, bursa, dan aplikasi. Security Alliance dalam laporan ancaman kuartal kedua menyebutkan bahwa penyerang semakin sering menggunakan platform seperti GitHub, npm, dan Google untuk mendistribusikan malware.
Dalam beberapa insiden, SEAL melaporkan bahwa mesin yang terkompromi telah digunakan untuk mendorong kode berbahaya ke dalam repositori GitHub perusahaan itu sendiri, memungkinkan satu pelanggaran menjadi saluran untuk distribusi lebih lanjut. Laporan tersebut juga mencatat peningkatan jumlah paket malware lintas platform yang menggabungkan infostealers, trojan akses jarak jauh, dan pintu belakang, termasuk peningkatan dalam kampanye yang menargetkan macOS.
Insiden Terkait dan Dampak
Rilis npm Axios juga terkena serangan rantai pasokan serupa pada bulan Maret, sementara kampanye TrapDoor yang ditemukan pada bulan Mei menargetkan pengembang yang bekerja di bidang crypto, DeFi, kecerdasan buatan, dan keamanan. GitHub juga mengungkapkan akses tidak sah ke repositori internal pada 20 Mei setelah perangkat karyawan terkompromi.
Kompromi dompet merupakan metode serangan crypto termahal di paruh pertama 2026, yang menyebabkan pencurian sebesar $444 juta dalam 33 kasus, menurut CertiK. Injective, sebuah layer 1 yang dapat dioperasikan untuk aplikasi DeFi, telah melihat total nilai yang terkunci turun 88% dari puncak pertengahan 2024 sebesar $71 juta menjadi $8,2 juta, menurut data dari DefiLlama.
Awal tahun ini, anggota komunitas menyetujui IIP-617, yang mempercepat pengurangan dalam penerbitan INJ baru sambil mempertahankan pembakaran token yang ada.