CTO Ledger, Charles Guillemet, melaporkan di X tentang serangan rantai pasokan yang melibatkan paket NPM yang banyak digunakan
Saat ini sedang berlangsung serangan rantai pasokan skala besar: akun NPM dari seorang pengembang terkemuka telah disusupi. Paket yang terpengaruh telah diunduh lebih dari 1 miliar kali, yang berarti seluruh ekosistem JavaScript mungkin berada dalam risiko.
Payload jahat berfungsi…
— Charles Guillemet (@P3b7_) 8 September 2025
Menurut laporan oleh CoinDesk, beberapa versi yang disusupi – yang totalnya lebih dari 1 miliar unduhan – mencakup kode yang mampu mengganti, "secara langsung," alamat tujuan dalam transaksi kripto, mengalihkan dana ke dompet yang dikendalikan oleh penyerang. Skenario ini sejalan dengan rekomendasi perlindungan rantai pasokan yang dipublikasikan oleh organisasi industri seperti OWASP, yang menyoroti bagaimana kompromi rantai pasokan dapat memiliki dampak berskala besar.
Menurut data yang dikumpulkan oleh tim intelijen ancaman kami dalam 24 jam terakhir, indikator kompromi telah muncul yang konsisten dengan teknik yang dijelaskan dalam beberapa repositori dan saluran pembuatan. Analis yang kami kolaborasikan juga menekankan bahwa cakupan insiden ini diperbesar oleh ketergantungan transisi dan ukuran registri: registri NPM menyimpan lebih dari 2 juta paket, meningkatkan kemungkinan penyebaran modul yang dikompromikan.
Mekanisme Serangan: Alamat Berubah "Secara Langsung"
Dengan demikian, payload jahat diaktifkan baik selama operasi on-chain maupun pada saat pembuatan atau penandatanganan transaksi. Dalam praktiknya, malware mencegat alamat penerima dan menggantinya dengan salah satu yang dimiliki oleh aktor jahat. Pengguna, yang melihat layar yang tampaknya "bersih", mungkin tidak menyadari bahwa transaksi akhir mengirimkan dana ke alamat yang berbeda – suatu dinamika yang juga dikonfirmasi oleh The Block. Perlu dicatat bahwa manipulasi ini bertujuan untuk tetap tidak terlihat hingga langkah konfirmasi terakhir.
Pembaruan tentang serangan NPM: Serangan tersebut beruntung gagal, dengan hampir tidak ada korban.
Ini dimulai dengan email phishing dari domain dukungan npm palsu yang mencuri kredensial dan memberi penyerang akses untuk menerbitkan pembaruan paket berbahaya. Kode yang disuntikkan menargetkan aktivitas web crypto,… pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) 9 September 2025
Paket yang terlibat: angka, nama sementara, dan distribusi
Analisis awal menunjukkan bahwa kompromi terjadi dengan mengeksploitasi akun seorang pemelihara yang memiliki akses ke pustaka yang banyak digunakan. Di antara nama-nama yang beredar adalah, misalnya, paket error-ex – yang profil resminya dapat dilihat di npmjs.com – meskipun daftar resmi masih dalam proses pembaruan. Dampak ini diperbesar oleh efek kaskade akibat ketergantungan: sebuah modul yang terkompromi dapat menyebar ke ratusan proyek, berkat rantai impor. Memang, sifat modular dari kode JavaScript membuat masalah ini lebih mudah menyebar ketika ketergantungan sangat terbenam.
Skala paparan: lebih dari 1 miliar unduhan kumulatif versi yang berpotensi berisiko.
Vektor: publikasi di NPM melalui kredensial yang dicuri atau saluran yang dikompromikan.
Lingkup: pustaka inti yang digunakan dalam proyek web dan dompet.
Daftar resmi paket dan versi yang terkena dampak bersifat parsial; disarankan untuk memantau pemberitahuan NPM dan repositori pemelihara. Namun, sampai komunikasi definitif dibuat, tetap bijaksana untuk mempertimbangkan seluruh rantai ketergantungan dalam risiko.
Dampak pada pengguna dan bisnis
Pencurian crypto secara langsung setelah penggantian alamat yang licik.
Integritas aplikasi terganggu di dApp, ekstensi, dan dompet desktop/web.
Risiko reputasi untuk proyek yang mengintegrasikan paket terkontaminasi.
Apa yang Harus Dilakukan Segera: Daftar Periksa Darurat
Untuk pengguna akhir (crypto)
Pilih dompet yang jelas menampilkan informasi transaksi ( layar dan tanda tangan yang jelas – Tanda Tangan Jelas ), memverifikasi alamat dan jumlah di perangkat sebelum mengonfirmasi. Untuk panduan praktis, lihat panduan kami tentang memeriksa dompet perangkat keras.
Hindari penandatanganan buta dan batasi penggunaan kode QR yang tidak diverifikasi.
Bandingkan alamat yang ditampilkan dengan salinan yang aman dan gunakan daftar putih untuk penerima yang sering.
Langkah pencegahan ini sangat penting karena konfirmasi pada dompet perangkat keras menunjukkan data yang sebenarnya ditandatangani, sehingga setiap penggantian alamat oleh perangkat lunak host menjadi jelas. Dalam konteks ini, verifikasi di layar perangkat mengurangi kemungkinan kesalahan atau manipulasi hulu.
Untuk tim pengembangan
Tangguhkan sementara pembaruan otomatis dari ketergantungan kritis.
Lakukan audit dan rollback versi yang diterbitkan selama periode yang mencurigakan.
Putar token NPM dan buat aktivasi 2FA wajib untuk pemelihara dan perilis (lihat di sini).
Aktifkan sistem provenance untuk publikasi dan tanda artefak build.
Bagaimana cara memverifikasi jika suatu proyek terpapar
Dengan cepat mengidentifikasi ketergantungan mencurigakan dan rentang versi yang terinstal sangat penting: pengintaian yang tepat waktu membatasi efek domino dalam saluran.
Daftar versi yang terpasang dan rantai ketergantungan
npm ls error-ex
Periksa kerentanan dan nasihat yang dikenal
npm audit –production
npm audit –json > audit.json
Blok pembaruan non-deterministik dalam CI
npm ci –ignore-scripts
Tetapkan ambang audit yang lebih ketat
npm config set audit-level=high
Periksa versi yang tersedia dan tanggal publikasinya
npm view error-ex versions –json
npm view error-ex time –json
Dalam konteks CI, mengatur ignore-scripts=true membantu mengurangi risiko menjalankan skrip pasca-instal yang berbahaya. Meskipun demikian, disarankan untuk menetapkan dasar yang dapat direproduksi segera untuk menghindari deviasi yang tidak terduga. Untuk daftar periksa yang lebih panjang mengenai verifikasi CI, silakan lihat halaman kami tentang praktik terbaik rantai pasokan.
Memperkuat rantai pasokan: pertahanan teknis yang direkomendasikan
Gunakan file kunci deterministik (package-lock.json) dan deploy dengan npm ci untuk memastikan reproduktifitas.
Aktifkan 2FA di NPM untuk publikasi dan akses kritis, menggunakan token dengan ruang lingkup terbatas (automasi vs. publikasi).
Terapkan tinjauan kode yang wajib dan gunakan jalur CI terisolasi dengan tanda tangan artefak.
Adopsi sistem provenance, merujuk pada dokumentasi resmi tentang provenance paket npm dan standar seperti SLSA.
Gunakan alat pemindaian dan pembaruan terkendali, seperti Dependabot, Renovate, dan sigstore/cosign, jika diperlukan.
Terapkan prinsip hak akses minimum untuk akun pemelihara dan bot rilis.
Garis Waktu dan Status Investigasi
Peringatan ini diumumkan kepada publik hari ini, 8 September 2025, dan verifikasi saat ini sedang berlangsung. Pemberitahuan resmi dan daftar paket serta versi yang terkompromi akan dirilis secara bertahap. Oleh karena itu, disarankan untuk menjaga pendekatan yang hati-hati, menangguhkan pembaruan yang tidak penting sampai indikator kompromi dikonsolidasikan. Menunggu umpan balik lebih lanjut, prioritas tetap untuk membatasi paparan dan mencatat setiap perubahan dengan hati-hati.
Sudut Kritis: Rantai Kepercayaan Masih Rapuh
Rantai pasokan sumber terbuka tetap rentan ketika akses akun dan saluran publikasi tidak dilindungi dengan baik. Masalah ini menjadi semakin mendesak ketika, pada tahun 2025, banyak publikasi masih terjadi tanpa adopsi sistematis langkah-langkah seperti 2FA, asal-usul, dan tinjauan yang ketat.
Selama kepercayaan dianggap remeh, setiap proyek akan terus terpapar pada risiko yang dihasilkan oleh orang lain. Namun, bahkan perbaikan kecil dalam proses dapat secara signifikan mengurangi permukaan serangan.
Titik
Episode ini menyoroti betapa pentingnya keamanan rantai pasokan dalam perangkat lunak sumber terbuka. Selama investigasi berlangsung, prioritasnya adalah membatasi permukaan serangan, memverifikasi data transaksi di layar dengan hati-hati, dan mengkonsolidasikan proses penerbitan melalui adopsi 2FA, lockfile, dan sistem asal.
Transparansi advisori, seperti yang dicatat oleh banyak ahli, akan sangat penting dalam mengukur dampak nyata dan memulihkan kepercayaan dalam ekosistem. Dalam konteks ini, kepatuhan terhadap praktik terbaik tetap menjadi satu-satunya perlindungan segera.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
NPM diserang: paket JavaScript yang dikompromikan, alamat kripto yang dibajak. Peringatan dari Ledger...
CTO Ledger, Charles Guillemet, melaporkan di X tentang serangan rantai pasokan yang melibatkan paket NPM yang banyak digunakan
Saat ini sedang berlangsung serangan rantai pasokan skala besar: akun NPM dari seorang pengembang terkemuka telah disusupi. Paket yang terpengaruh telah diunduh lebih dari 1 miliar kali, yang berarti seluruh ekosistem JavaScript mungkin berada dalam risiko.
Payload jahat berfungsi…
— Charles Guillemet (@P3b7_) 8 September 2025
Menurut laporan oleh CoinDesk, beberapa versi yang disusupi – yang totalnya lebih dari 1 miliar unduhan – mencakup kode yang mampu mengganti, "secara langsung," alamat tujuan dalam transaksi kripto, mengalihkan dana ke dompet yang dikendalikan oleh penyerang. Skenario ini sejalan dengan rekomendasi perlindungan rantai pasokan yang dipublikasikan oleh organisasi industri seperti OWASP, yang menyoroti bagaimana kompromi rantai pasokan dapat memiliki dampak berskala besar.
Menurut data yang dikumpulkan oleh tim intelijen ancaman kami dalam 24 jam terakhir, indikator kompromi telah muncul yang konsisten dengan teknik yang dijelaskan dalam beberapa repositori dan saluran pembuatan. Analis yang kami kolaborasikan juga menekankan bahwa cakupan insiden ini diperbesar oleh ketergantungan transisi dan ukuran registri: registri NPM menyimpan lebih dari 2 juta paket, meningkatkan kemungkinan penyebaran modul yang dikompromikan.
Mekanisme Serangan: Alamat Berubah "Secara Langsung"
Dengan demikian, payload jahat diaktifkan baik selama operasi on-chain maupun pada saat pembuatan atau penandatanganan transaksi. Dalam praktiknya, malware mencegat alamat penerima dan menggantinya dengan salah satu yang dimiliki oleh aktor jahat. Pengguna, yang melihat layar yang tampaknya "bersih", mungkin tidak menyadari bahwa transaksi akhir mengirimkan dana ke alamat yang berbeda – suatu dinamika yang juga dikonfirmasi oleh The Block. Perlu dicatat bahwa manipulasi ini bertujuan untuk tetap tidak terlihat hingga langkah konfirmasi terakhir.
Pembaruan tentang serangan NPM: Serangan tersebut beruntung gagal, dengan hampir tidak ada korban.
Ini dimulai dengan email phishing dari domain dukungan npm palsu yang mencuri kredensial dan memberi penyerang akses untuk menerbitkan pembaruan paket berbahaya. Kode yang disuntikkan menargetkan aktivitas web crypto,… pic.twitter.com/lOik6k7Dkp
— Charles Guillemet (@P3b7_) 9 September 2025
Paket yang terlibat: angka, nama sementara, dan distribusi
Analisis awal menunjukkan bahwa kompromi terjadi dengan mengeksploitasi akun seorang pemelihara yang memiliki akses ke pustaka yang banyak digunakan. Di antara nama-nama yang beredar adalah, misalnya, paket error-ex – yang profil resminya dapat dilihat di npmjs.com – meskipun daftar resmi masih dalam proses pembaruan. Dampak ini diperbesar oleh efek kaskade akibat ketergantungan: sebuah modul yang terkompromi dapat menyebar ke ratusan proyek, berkat rantai impor. Memang, sifat modular dari kode JavaScript membuat masalah ini lebih mudah menyebar ketika ketergantungan sangat terbenam.
Skala paparan: lebih dari 1 miliar unduhan kumulatif versi yang berpotensi berisiko.
Vektor: publikasi di NPM melalui kredensial yang dicuri atau saluran yang dikompromikan.
Lingkup: pustaka inti yang digunakan dalam proyek web dan dompet.
Daftar resmi paket dan versi yang terkena dampak bersifat parsial; disarankan untuk memantau pemberitahuan NPM dan repositori pemelihara. Namun, sampai komunikasi definitif dibuat, tetap bijaksana untuk mempertimbangkan seluruh rantai ketergantungan dalam risiko.
Dampak pada pengguna dan bisnis
Pencurian crypto secara langsung setelah penggantian alamat yang licik.
Integritas aplikasi terganggu di dApp, ekstensi, dan dompet desktop/web.
Risiko reputasi untuk proyek yang mengintegrasikan paket terkontaminasi.
Apa yang Harus Dilakukan Segera: Daftar Periksa Darurat
Untuk pengguna akhir (crypto)
Pilih dompet yang jelas menampilkan informasi transaksi ( layar dan tanda tangan yang jelas – Tanda Tangan Jelas ), memverifikasi alamat dan jumlah di perangkat sebelum mengonfirmasi. Untuk panduan praktis, lihat panduan kami tentang memeriksa dompet perangkat keras.
Hindari penandatanganan buta dan batasi penggunaan kode QR yang tidak diverifikasi.
Bandingkan alamat yang ditampilkan dengan salinan yang aman dan gunakan daftar putih untuk penerima yang sering.
Langkah pencegahan ini sangat penting karena konfirmasi pada dompet perangkat keras menunjukkan data yang sebenarnya ditandatangani, sehingga setiap penggantian alamat oleh perangkat lunak host menjadi jelas. Dalam konteks ini, verifikasi di layar perangkat mengurangi kemungkinan kesalahan atau manipulasi hulu.
Untuk tim pengembangan
Tangguhkan sementara pembaruan otomatis dari ketergantungan kritis.
Lakukan audit dan rollback versi yang diterbitkan selama periode yang mencurigakan.
Putar token NPM dan buat aktivasi 2FA wajib untuk pemelihara dan perilis (lihat di sini).
Aktifkan sistem provenance untuk publikasi dan tanda artefak build.
Bagaimana cara memverifikasi jika suatu proyek terpapar
Dengan cepat mengidentifikasi ketergantungan mencurigakan dan rentang versi yang terinstal sangat penting: pengintaian yang tepat waktu membatasi efek domino dalam saluran.
Daftar versi yang terpasang dan rantai ketergantungan
npm ls error-ex
Periksa kerentanan dan nasihat yang dikenal
npm audit –production
npm audit –json > audit.json
Blok pembaruan non-deterministik dalam CI
npm ci –ignore-scripts
Tetapkan ambang audit yang lebih ketat
npm config set audit-level=high
Periksa versi yang tersedia dan tanggal publikasinya
npm view error-ex versions –json
npm view error-ex time –json
Dalam konteks CI, mengatur ignore-scripts=true membantu mengurangi risiko menjalankan skrip pasca-instal yang berbahaya. Meskipun demikian, disarankan untuk menetapkan dasar yang dapat direproduksi segera untuk menghindari deviasi yang tidak terduga. Untuk daftar periksa yang lebih panjang mengenai verifikasi CI, silakan lihat halaman kami tentang praktik terbaik rantai pasokan.
Memperkuat rantai pasokan: pertahanan teknis yang direkomendasikan
Gunakan file kunci deterministik (package-lock.json) dan deploy dengan npm ci untuk memastikan reproduktifitas.
Aktifkan 2FA di NPM untuk publikasi dan akses kritis, menggunakan token dengan ruang lingkup terbatas (automasi vs. publikasi).
Terapkan tinjauan kode yang wajib dan gunakan jalur CI terisolasi dengan tanda tangan artefak.
Adopsi sistem provenance, merujuk pada dokumentasi resmi tentang provenance paket npm dan standar seperti SLSA.
Gunakan alat pemindaian dan pembaruan terkendali, seperti Dependabot, Renovate, dan sigstore/cosign, jika diperlukan.
Terapkan prinsip hak akses minimum untuk akun pemelihara dan bot rilis.
Garis Waktu dan Status Investigasi
Peringatan ini diumumkan kepada publik hari ini, 8 September 2025, dan verifikasi saat ini sedang berlangsung. Pemberitahuan resmi dan daftar paket serta versi yang terkompromi akan dirilis secara bertahap. Oleh karena itu, disarankan untuk menjaga pendekatan yang hati-hati, menangguhkan pembaruan yang tidak penting sampai indikator kompromi dikonsolidasikan. Menunggu umpan balik lebih lanjut, prioritas tetap untuk membatasi paparan dan mencatat setiap perubahan dengan hati-hati.
Sudut Kritis: Rantai Kepercayaan Masih Rapuh
Rantai pasokan sumber terbuka tetap rentan ketika akses akun dan saluran publikasi tidak dilindungi dengan baik. Masalah ini menjadi semakin mendesak ketika, pada tahun 2025, banyak publikasi masih terjadi tanpa adopsi sistematis langkah-langkah seperti 2FA, asal-usul, dan tinjauan yang ketat.
Selama kepercayaan dianggap remeh, setiap proyek akan terus terpapar pada risiko yang dihasilkan oleh orang lain. Namun, bahkan perbaikan kecil dalam proses dapat secara signifikan mengurangi permukaan serangan.
Titik
Episode ini menyoroti betapa pentingnya keamanan rantai pasokan dalam perangkat lunak sumber terbuka. Selama investigasi berlangsung, prioritasnya adalah membatasi permukaan serangan, memverifikasi data transaksi di layar dengan hati-hati, dan mengkonsolidasikan proses penerbitan melalui adopsi 2FA, lockfile, dan sistem asal.
Transparansi advisori, seperti yang dicatat oleh banyak ahli, akan sangat penting dalam mengukur dampak nyata dan memulihkan kepercayaan dalam ekosistem. Dalam konteks ini, kepatuhan terhadap praktik terbaik tetap menjadi satu-satunya perlindungan segera.