Serangan Peretasan Kripto Baru Telan Lebih Dari 1 Miliar Korban! Bagaimana Cara Tetap Aman?

Serangan rantai pasok kembali menjadi perhatian besar setelah kasus terbaru nan melibatkan akun npm terpercaya terbongkar. Akun tersebut diretas dan digunakan untuk menyebarkan kode rawan melalui paket JavaScript nan sangat populer. 

Kasus ini dianggap serius bukan hanya oleh organisasi developer, tetapi juga para pelaku kripto, karena kode rawan tersebut dirancang untuk mencuri aset digital. 

Dengan miliaran unduhan, dampaknya dapat dirasakan hingga ke aplikasi finansial dan blockchain. Artikel ini bakal membahas apa nan sebenarnya terjadi dan apa nan kudu dilakukan agar tetap aman.

Rincian Serangan npm dan Cara Kerjanya

Insiden ini pertama kali terdeteksi ketika sejumlah developer memandang error asing saat melakukan build. Setelah diteliti lebih dalam, ditemukan potongan kode nan susah dibaca dan rupanya berfaedah sebagai clipper. 

Mekanisme clipper ini mengganti alamat wallet pengguna dengan alamat milik penyerang secara diam-diam. Aksi tersebut bisa terjadi saat pengguna melakukan request jaringan maupun saat proses tanda tangan transaksi berlangsung.

Yang membuatnya lebih rawan adalah teknik nan dipakai tidak sembarangan. Penyerang menggunakan algoritma Levenshtein untuk mencari alamat wallet nan mirip dengan alamat asli. 

Hal ini mengecoh kebiasaan pengguna nan biasanya hanya memandang beberapa karakter awal dan akhir sebelum menekan tombol konfirmasi. Dengan begitu, banyak orang bisa tertipu tanpa menyadarinya.

Paket nan terdampak antara lain chalk, debug, strip-ansi, ansi-styles, dan colour-convert. Paket-paket ini digunakan secara luas oleh jutaan proyek di seluruh dunia. 

Total unduhannya sudah melewati nomor satu miliar kali, menjadikannya salah satu serangan rantai pasok paling serius dalam ekosistem perangkat lunak.

Serangan ini berasal dari akun npm milik seorang developer terkenal nan sukses diretas. Setelah itu, penyerang langsung merilis jenis rawan ke repositori publik. 

Para developer nan menggunakan npm dengan jenis rentang otomatis bisa tanpa sadar mengunduh pembaruan nan telah disusupi. Situasi ini membuktikan sungguh rapuhnya rantai pasok perangkat lunak ketika hanya berjuntai pada kepercayaan.

Serangan ini juga menimbulkan akibat besar bagi pengguna kripto. Jika perangkat alias aplikasi nan digunakan sudah terinfeksi, maka setiap transaksi nan dilakukan berpotensi dialihkan ke alamat penyerang. 

Serangan ini tidak menyerang blockchain secara langsung, melainkan celah di bagian paling dekat dengan pengguna, ialah perangkat lunak tempat mereka berinteraksi.

Temuan Baru Para Peneliti dan Cara Tetap Aman

Setelah kasus ini mencuat, sejumlah peneliti keamanan langsung menelusuri jejak aktivitas penyerang. Mereka sukses mengidentifikasi alamat wallet penyerang di beragam jaringan besar seperti Ethereum, Bitcoin, Solana, Tron, Litecoin, dan Bitcoin Cash. 

Menariknya, meski prasarana untuk pencurian aset sudah siap, biaya di alamat tersebut belum bergerak. Hal ini menunjukkan bahwa serangan ini lebih konsentrasi pada persiapan jangka panjang dan menunggu korban melakukan transaksi.

Charles Guillemet, CTO dari Ledger, menjadi salah satu pihak nan pertama kali memperingatkan publik. Ia menyarankan agar pengguna menunda transaksi menggunakan software wallet sampai ada kejelasan lebih lanjut. 

Menurutnya, blockchain seperti Ethereum maupun ZKsync tetap kondusif di tingkat protokol, namun celah berada pada perangkat lunak nan digunakan untuk mengakses jaringan.

Bagi investor, langkah paling kondusif adalah beranjak menggunakan hardware wallet. Perangkat ini mempunyai layar unik untuk menampilkan alamat tujuan sehingga pengguna bisa memverifikasi secara menyeluruh sebelum menyetujui transaksi. 

Membaca alamat secara lengkap, bukan hanya awal dan akhir, menjadi langkah sederhana tetapi krusial untuk mencegah kehilangan aset.

Pengguna mata uang digital sehari-hari juga perlu meningkatkan kewaspadaan. Jika memakai browser wallet alias mobile wallet, sebaiknya menunda transfer krusial sampai aplikasi betul-betul dipastikan bebas dari paket berbahaya. 

Jangan tergesa-gesa menekan tombol konfirmasi, terutama di aplikasi desentralisasi nan mengelola biaya dalam jumlah besar.

Sementara itu, developer mempunyai tanggung jawab lebih besar. Mereka perlu segera melakukan audit pada dependency nan digunakan, memastikan tidak ada paket rawan nan terpasang. 

Versi paket sebaiknya dipatok secara spesifik dalam file konfigurasi agar tidak otomatis mengunduh pembaruan berisiko. 

Selain itu, hapus file lock dan berkas node_modules untuk kemudian menginstal ulang dari jenis aman. Token dan kredensial nan mungkin terekspos selama proses build juga perlu segera diganti.

Langkah ke depan, praktik terbaik adalah menggunakan npm ci di lingkungan integrasi berkelanjutan. 

Perintah ini memastikan keterbatasan dipasang sesuai file lock nan sudah diverifikasi, sehingga lebih kondusif daripada npm install nan bisa menarik jenis baru. Dengan disiplin seperti ini, developer dapat menutup celah rantai pasok dan melindungi pengguna.

Kesimpulan

Kasus serangan rantai pasok npm ini menjadi peringatan keras bagi organisasi mata uang digital dan developer. Blockchain pada dasarnya tetap aman, namun titik rawan justru berada pada perangkat lunak nan digunakan untuk mengaksesnya. 

Bagi investor, penggunaan hardware wallet menjadi solusi terbaik. Bagi pengguna aktif, kesabaran dan kewaspadaan saat bertransaksi adalah kunci. 

Bagi developer, tanggung jawab ada pada audit keterbatasan dan penerapan praktik aman. Serangan rantai pasok bakal terus muncul, tetapi dengan kesadaran kolektif dan langkah nan tepat, kerugian bisa diminimalkan.