Hacker

Cara Kerja Serangan NPM Supply Chain Kripto dan Tips Terhindar dari Hack

Posted on by Arli fauzi
10
Sep

Volubit.id — Jagat Kripto kembali dihebohkan dengan upaya peretasan yang dilakukan oleh hacker kelas kakap. Kali ini, sasarannya bukan wallet atau smart contract protokol secara langsung, melainkan jantung ekosistem JavaScript yang bernama NPM atau Node Package Manager. NPM adalah gudang raksasa semacam database tempat jutaan modul kode disimpan dan bisa dipakai oleh pengembang aplikasi di seluruh dunia.

Serangan ini bikin geger karena modul yang disusupi oleh peretas dipakai miliaran kali setiap pekan oleh berbagai aplikasi, termasuk yang terkait dengan dunia kripto.

Dugaan NPM supply chain attack ini ramai digunjingkan di Twitter pada 8 September 2025. Uraian yang berkembang menyatakan serangan bermula ketika seorang peretas berhasil mengambil alih akun salah satu pengembang terkenal yang mengelola sejumlah modul penting. Setelah masuk, peretas menyisipkan kode berbahaya ke dalam versi terbaru dari 18 modul populer, di antaranya chalk, debug, dan ansi-styles.

Deretan modul ini sabgat banyak digunakan dalam ragam aplikasi sehingga total unduhannya mencapai miliaran kali setiap minggu. Artinya, ketika pengembang lain memperbarui atau menambahkan modul ini ke aplikasi, secara tidak sadar mereka bisa ikut membawa malware ke dalam sistem.

Kode jahat yang ditanamkan bekerja sebagai cryptostealer, atau pencuri aset digital. Mekanismenya cukup licik. Saat transaksi kripto dilakukan, malware memindai detailnya, lalu mengganti alamat dompet tujuan dengan alamat milik peretas. Akibatnya, aset digital yang seharusnya sampai ke penerima justru berpindah ke wallet peretas asing.

Selain itu, ada pula dugaan bahwa kode ini bisa mengincar data sensitif seperti kata sandi maupun frasa pemulihan dari dompet software, meski hingga kini belum ada bukti kuat pencurian data dalam skala besar.

Skala serangan ini membuat banyak pihak khawatir sebab modul yang disusupi dipakai di berbagai aplikasi besar. Namun, sejumlah platform kripto terkenal sudah mengonfirmasi keamanan protokol mereka. Binance, MetaMask, Trust Wallet, hingga Uniswap, menyatakan sistem mereka aman setelah melakukan audit internal.

Walau skalanya terbilang sangat besar, namun kerugian finansial yang ditimbupkan akibat peretasan tersebut sejauh ini masih relatif kecil. Data dashboard firma analitik Arkham Intelligence mencatat jumlah dana yang berhasil digondol baru mencapai $500 hingga 9 September sore WIB.

Lantas, bagaimana car mencegahnya?

Bagi pengguna kripto sehari-hari, ada sejumlah langkah yang bisa diambil untuk menjaga keamanan. Penggunaan hardware wallet adalah yang paling direkomendasikan. Setiap kali ada transaksi, detail lengkap termasuk alamat tujuan akan muncul di layar perangkat. Dengan begitu, pengguna bisa memastikan aset benar-benar dikirim ke alamat yang tepat tanpa khawatir disusupi perangkat lunak jahat.

Kebiasaan sederhana lain yang tak kalah penting adalah selalu mengecek ulang alamat penerima sebelum menekan tombol konfirmasi. Kesalahan satu huruf saja bisa fatal, apalagi jika ada kode berbahaya yang sengaja mengganti alamat di latar belakang.

Langkah pencegahan berikutnya yang banyak direkomendasikan adalah bersabar. Saat muncul kabar adanya peretasan besar, lebih baik menunda dulu transaksi onchain di jaringan blockchain hingga situasi menjadi lebih jelas dan aman.

Pengguna juga sebaiknya tidak melakukan update atau upgrade aplikasi terlebih dahulu, apalagi sembarangan mengunduh atau memasang perangkat lunak dari sumber yang tidak jelas. Mengaktifkan keamanan berlapis seperti autentikasi dua faktor (2FA) bisa memberikan proteksi tambahan.

Langkah yang terakhir adalah dengan terus mengikuti perkembangan dari kanal resmi, media keamanan siber, atau akun-akun kredibel. Dengan begitu, pengguna bisa tahu kapan harus meningkatkan kewaspadaan dan kapan kondisi kembali normal.

Arli fauzi

Leave a Reply

Your email address will not be published. Required fields are marked *