Serangan Rantai Pasokan Terbesar dalam Sejarah
Peretas telah mengkompromikan perpustakaan perangkat lunak JavaScript yang banyak digunakan dalam apa yang disebut sebagai serangan rantai pasokan terbesar dalam sejarah. Malware yang disuntikkan dilaporkan dirancang untuk mencuri cryptocurrency dengan menukar alamat dompet dan mencegat transaksi.
Detail Serangan
Menurut beberapa laporan pada hari Senin, peretas berhasil masuk ke akun Node Package Manager (NPM) seorang pengembang terkenal dan secara diam-diam menambahkan malware ke perpustakaan JavaScript populer yang digunakan oleh jutaan aplikasi. Kode jahat ini menukar atau membajak alamat dompet cryptocurrency, menempatkan proyek-proyek senilai miliaran unduhan dalam risiko.
“Ada serangan rantai pasokan berskala besar yang sedang berlangsung: akun NPM dari seorang pengembang terkemuka telah dikompromikan,” peringatan CTO Ledger, Charles Guillemet, pada hari Senin. “Paket-paket yang terpengaruh telah diunduh lebih dari 1 miliar kali, yang berarti seluruh ekosistem JavaScript mungkin dalam bahaya.”
Paket yang Terpengaruh
Serangan ini menargetkan paket-paket seperti [nama paket], [nama paket], dan [nama paket] — utilitas kecil yang terpendam dalam pohon ketergantungan dari banyak proyek. Bersama-sama, perpustakaan ini diunduh lebih dari satu miliar kali setiap minggu, yang berarti bahkan pengembang yang tidak pernah menginstalnya secara langsung bisa terpapar.
Risiko dan Perlindungan
NPM berfungsi seperti toko aplikasi untuk pengembang — sebuah perpustakaan pusat di mana mereka berbagi dan mengunduh paket kode kecil untuk membangun proyek JavaScript.
Penyerang tampaknya telah menanamkan crypto-clipper, sejenis malware yang secara diam-diam mengganti alamat dompet selama transaksi untuk mengalihkan dana. Peneliti keamanan memperingatkan bahwa pengguna yang bergantung pada dompet perangkat lunak mungkin sangat rentan, sementara mereka yang mengonfirmasi setiap transaksi di dompet perangkat keras terlindungi.
Masih belum jelas apakah malware ini juga berusaha mencuri frasa benih secara langsung. Ini adalah cerita yang sedang berkembang, dan informasi lebih lanjut akan ditambahkan saat tersedia.
