Pengguna Solana Menghadapi Serangan Phishing Baru, Paket NPM Berbahaya Mencuri Kunci Pribadi yang Mengakibatkan Kerugian Aset

Pada awal Juli 2025, serangan phishing baru yang menargetkan pengguna Solana menarik perhatian para ahli keamanan. Seorang pengguna menemukan bahwa aset kriptonya dicuri setelah menggunakan sebuah proyek sumber terbuka di GitHub. Setelah diselidiki, tim keamanan mengungkapkan sebuah rantai serangan yang dirancang dengan cermat, melibatkan paket NPM berbahaya dan kolaborasi dari beberapa akun GitHub.

Kronologi Peristiwa

Korban menggunakan proyek GitHub bernama "solana-pumpfun-bot" pada 1 Juli, dan keesokan harinya menemukan aset dicuri. Tim keamanan segera melakukan penyelidikan dan menemukan bahwa proyek tersebut memiliki beberapa hal mencurigakan:

1. Jumlah Star dan Fork proyek tersebut sangat tinggi, tetapi pembaruan kode terfokus pada tiga minggu yang lalu, kurangnya karakter pemeliharaan yang berkelanjutan.
2. Ketergantungan proyek mencakup paket pihak ketiga yang mencurigakan bernama "crypto-layout-utils".
3. Paket yang mencurigakan tersebut telah dihapus oleh resmi NPM, dan versi yang ditentukan tidak ada dalam catatan sejarah resmi.

Analisis Metode Serangan

Analisis mendalam menunjukkan bahwa penyerang menggunakan cara-cara berikut:

1. Mengganti tautan unduh paket yang mencurigakan di package-lock.json, mengarah ke versi buatan sendiri di GitHub.
2. Versi kode ini sangat teracak, meningkatkan kesulitan analisis.
3. Setelah deobfuscation, ditemukan bahwa paket ini akan memindai file komputer pengguna, mencari konten yang terkait dengan dompet atau Kunci Pribadi, dan mengunggahnya ke server yang dikendalikan oleh penyerang.
4. Penyerang mungkin mengontrol beberapa akun GitHub untuk Fork proyek jahat dan meningkatkan popularitas, serta memperluas jangkauan penyebarannya.

Aliran Dana

Melalui alat analisis on-chain, ditemukan bahwa sebagian dana yang dicuri telah dipindahkan ke suatu platform perdagangan.

Rentang Serangan Diperluas

Investigasi juga menemukan bahwa beberapa proyek Fork yang relevan juga memiliki perilaku jahat serupa, dengan beberapa versi menggunakan paket jahat lain "bs58-encrypt-utils-1.0.3". Ini menunjukkan bahwa penyerang sudah mulai mendistribusikan paket NPM jahat dan proyek Node.js sejak pertengahan Juni.

Saran Keamanan

1. Waspadai proyek GitHub yang tidak jelas asalnya, terutama yang melibatkan dompet atau Kunci Pribadi.
2. Jika perlu melakukan debugging proyek semacam ini, disarankan untuk melakukannya di lingkungan yang terpisah dan tanpa data sensitif.
3. Pengembang harus secara teratur memeriksa ketergantungan proyek dan waspada terhadap paket pihak ketiga yang mencurigakan.
4. Pengguna harus menggunakan dompet keras dan metode penyimpanan yang lebih aman, menghindari penyimpanan Kunci Pribadi dalam bentuk teks biasa di komputer.

Kejadian ini sekali lagi mengingatkan kita bahwa dalam dunia terbuka yang terdesentralisasi, kesadaran keamanan individu dan langkah-langkah perlindungan dasar sangat penting. Penyerang terus berinovasi dalam metode mereka, dan kita juga perlu mengikuti perkembangan zaman, tetap waspada, dan melindungi aset digital kita.