Foto: Cointelegraph — Gambar diambil dari sumber artikel asli untuk menghindari kesalahan informasi visual.
Paket NPM Injective Dibajak — Pencuri Kunci Dompet Kripto, 300+ Unduhan Berbahaya
Serangan rantai pasok pada paket npm populer (50k unduhan/minggu) sudah diperbaiki, tetapi unduhan berbahaya masih >300 dan belum fully contained — relevan untuk ekosistem kripto Indonesia yang aktif, meskipun dampak finansial langsung belum terdeteksi.
Ringkasan Eksekutif
Peneliti keamanan Socket menemukan pada Kamis lalu bahwa paket npm @injectivelabs/sdk-ts versi 1.20.21, yang digunakan untuk mengembangkan aplikasi di blockchain Injective, telah dimodifikasi secara jahat melalui akun GitHub developer yang diretas. Paket ini memiliki sekitar 50.000 unduhan per minggu, menjadikannya target signifikan bagi pengembang dan aplikasi yang menangani alur kerja dompet Injective. Kode berbahaya tersebut menyusup ke fungsi derivasi kunci dompet, secara diam-diam mencatat kunci privat dan seed phrase, lalu mengirim data yang dikompromikan ke alamat web yang menyamar sebagai server jaringan Injective yang sah.
Socket melaporkan bahwa kode berbahaya telah dihapus, tetapi unduhan berbahaya telah mencapai lebih dari 300 kali dan "kampanye itu sendiri belum sepenuhnya terkendali." CEO Injective Eric Chen menyatakan bahwa masalah telah diperbaiki, versi terpengaruh sudah tidak digunakan lagi di npm, dan tidak ada dana di jaringan yang berisiko. Meskipun demikian, insiden ini menyoroti vektor serangan yang relatif baru: serangan rantai pasok perangkat lunak, di mana peretas tidak menargetkan kriptografi blockchain atau kontrak pintar secara langsung, melainkan mengompromikan alat pengembang tepercaya yang digunakan untuk membangun dompet, bursa, dan aplikasi. Dalam konteks Indonesia yang memiliki pasar kripto ritel aktif, risiko ini menjadi perhatian serius.
Banyak startup blockchain lokal dan exchange kripto Indonesia menggunakan paket npm serupa untuk membangun aplikasi DeFi atau layanan dompet. Jika rantai pasok perangkat lunak mereka terinfeksi, data kunci pengguna bisa bocor tanpa diketahui, mengakibatkan potensi pencurian aset kripto dalam skala besar. Selain itu, insiden ini terjadi di tengah semakin meningkatnya serangan rantai pasok global, seperti yang baru-baru ini diidentifikasi Kaspersky pada perangkat lunak Daemon Tools. Tren ini menunjukkan bahwa peretas kini mengeksploitasi kepercayaan pengembang terhadap pembaruan perangkat lunak sah sebagai pintu masuk ke sistem. Bagi ekosistem kripto Indonesia, yang masih dalam tahap pertumbuhan regulasi di bawah Bappebti dan OJK, insiden seperti ini dapat mempercepat penerapan standar keamanan yang lebih ketat untuk bursa dan pengembang aplikasi.
Sementara itu, CEO Injective sebelumnya telah menyoroti 'tarikan ulur' antara desentralisasi dan skalabilitas — ironisnya, serangan ini justru mengeksploitasi sisi pengembangan perangkat lunak yang sering kali menjadi titik lemah, bukan pada protokol blockchain itu sendiri.
Mengapa Ini Penting
Insiden ini menunjukkan bahwa ancaman terhadap aset kripto tidak hanya datang dari kerentanan smart contract, tetapi juga dari alat pengembang yang tampak sah. Bagi startup dan exchange kripto Indonesia yang membangun aplikasi DeFi, serangan rantai pasok seperti ini bisa mencuri kunci privat ribuan pengguna tanpa terdeteksi, memicu kerugian finansial dan krisis kepercayaan. Regulator seperti Bappebti kemungkinan akan merespons dengan mewajibkan audit keamanan rantai pasok untuk platform kripto berlisensi, meningkatkan biaya kepatuhan bagi pelaku industri.
Dampak ke Bisnis
- Efek langsung: pengembang dan exchange kripto Indonesia yang menggunakan atau bergantung pada paket @injectivelabs/sdk-ts harus segera memeriksa versi yang digunakan dan menganggap kunci yang telah melalui fungsi terdampak sebagai tidak aman. Biaya pemulihan (rotasi kunci, audit ulang) bisa signifikan bagi startup kecil.
- Efek tidak langsung: meningkatnya kesadaran akan risiko rantai pasok perangkat lunak di ekosistem kripto tanah air dapat mendorong permintaan akan jasa keamanan siber khusus blockchain, menguntungkan perusahaan seperti Cyphersec atau firma konsultan keamanan lokal.
- Potensi regulasi: OJK dan Bappebti, yang tengah merumuskan aturan untuk aset digital, dapat memasukkan kewajiban keamanan rantai pasok dalam lisensi exchange, meningkatkan hambatan masuk bagi pemain baru sekaligus memperkuat kepercayaan investor institusional terhadap pasar kripto Indonesia.
Yang Perlu Dipantau
- Yang perlu dipantau: respons resmi dari Injective Labs dan Daftar pengguna yang terkena dampak di Asia Tenggara, terutama Indonesia — jika ada pengakuan bahwa kunci dompet pengguna Indonesia terekspos, akan memicu gelombang penarikan dana dari exchange.
- Risiko yang perlu dicermati: serangan rantai pasok serupa pada paket npm populer lainnya yang digunakan oleh startup kripto Indonesia — kerentanan pada paket seperti web3.js, ethers.js, atau solana/web3.js bisa berdampak lebih luas.
- Sinyal penting: kebijakan baru dari Bappebti tentang audit keamanan rantai pasok bagi penyelenggara bursa aset kripto — jika muncul dalam 2—4 minggu ke depan, itu akan mengubah biaya operasional dan struktur persaingan di industri kripto Indonesia.
Konteks Indonesia
Indonesia memiliki pasar kripto ritel yang aktif dengan volume transaksi besar melalui exchange lokal seperti Indodax, Tokocrypto, dan Pintu. Banyak dari platform ini membangun aplikasi DeFi dan dompet menggunakan paket npm standar. Serangan rantai pasok pada paket Injective secara langsung relevan bagi pengembang Indonesia yang menggunakan alat serupa. Meskipun belum ada laporan kerugian di Indonesia, insiden ini meningkatkan urgensi bagi regulator (Bappebti, OJK) untuk memperkuat standar keamanan teknis, yang dapat memengaruhi biaya kepatuhan perusahaan kripto lokal. Di sisi lain, kesadaran investor ritel terhadap risiko keamanan mungkin meningkat, berpotensi mengalihkan minat sementara ke aset kripto yang lebih aman (blue-chip) atau produk tradisional.
Analisis ini dibuat oleh sistem AI Feedberry berdasarkan sumber berita publik dan tidak merupakan saran investasi atau keputusan bisnis. Selalu verifikasi dengan sumber primer.