Pengguna Solana Mengalami Pencurian Aset: Paket NPM Berbahaya Mencuri Kunci Pribadi

Baru-baru ini, sebuah insiden pencurian aset yang menargetkan pengguna Solana menarik perhatian para ahli keamanan. Insiden ini berasal dari sebuah proyek sumber terbuka yang dihosting di GitHub, yang berisi paket NPM berbahaya yang dapat mencuri informasi kunci pribadi pengguna.

Peristiwa dimulai pada 2 Juli 2025, seorang pengguna menemukan bahwa aset kriptonya dicuri setelah menggunakan proyek GitHub bernama "solana-pumpfun-bot". Tim keamanan segera melakukan investigasi dan menemukan bahwa proyek tersebut memiliki beberapa kejanggalan.

Pertama, pembaruan kode proyek terfokus pada tiga minggu yang lalu, kurangnya karakteristik pemeliharaan yang berkelanjutan. Kedua, proyek ini bergantung pada paket pihak ketiga bernama "crypto-layout-utils", yang telah dihapus dari NPM resmi, dan versi yang ditentukan tidak muncul dalam riwayat resmi NPM.

Penyelidikan lebih lanjut mengungkapkan bahwa penyerang telah mengganti tautan unduhan crypto-layout-utils dalam file package-lock.json, yang mengarah ke file di repositori GitHub. File ini sangat membingungkan, meningkatkan kesulitan analisis.

Setelah menghapus kebingungan, tim keamanan mengonfirmasi bahwa ini adalah paket NPM berbahaya. Paket ini dapat memindai file di komputer pengguna, mencari konten yang terkait dengan dompet atau Kunci Pribadi, dan mengunggah informasi sensitif yang ditemukan ke server yang dikendalikan oleh penyerang.

Penyerang tampaknya mengontrol beberapa akun GitHub untuk mendistribusikan program berbahaya dan meningkatkan jumlah Star dan Fork proyek, untuk menarik lebih banyak pengguna. Selain crypto-layout-utils, paket berbahaya lain yang disebut bs58-encrypt-utils juga digunakan untuk serangan serupa.

Melalui alat analisis on-chain, tim keamanan melacak bahwa sebagian dana yang dicuri mengalir ke suatu platform perdagangan.

Insiden serangan kali ini mengungkap risiko keamanan yang tersembunyi dalam proyek open source. Penyerang menyamar sebagai proyek yang sah, menggoda pengguna untuk mengunduh dan menjalankan program yang mengandung kode berbahaya. Koordinasi beberapa akun GitHub meningkatkan kredibilitas dan jangkauan penyebaran serangan tersebut.

Untuk mencegah serangan serupa, disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debugging, sebaiknya dilakukan di lingkungan yang terpisah dan tidak memiliki data sensitif.

Peristiwa ini melibatkan beberapa repositori GitHub dan paket NPM yang berbahaya. Tim keamanan telah mengumpulkan informasi terkait, termasuk beberapa tautan proyek GitHub yang mencurigakan, nama paket NPM yang berbahaya beserta tautan unduhnya, serta alamat server pengunggahan data yang digunakan oleh penyerang. Informasi ini sangat penting untuk mengidentifikasi dan mencegah serangan serupa.