CTO Ledger Imbau Hentikan Transaksi Onchain di Tengah Maraknya Supply Chain Attack
9th September, 2025
Ekosistem kripto tengah diguncang oleh insiden keamanan besar yang disebut sebagai serangan supply chain terbesar dalam sejarah. Serangan ini menyasar akun pengembang di Node Package Manager (NPM), repositori kode JavaScript terbesar di dunia, dan berpotensi memengaruhi jutaan aplikasi serta proyek kripto.
Dalam postingan di X pada Senin (8/9/2025), Chief Technology Officer (CTO) Ledger, Charles Guillemet, memperingatkan adanya serangan berskala besar setelah akun NPM milik seorang pengembang ternama berhasil diretas. Paket-paket yang terdampak telah diunduh lebih dari satu miliar kali, sehingga berpotensi membahayakan seluruh ekosistem JavaScript.
Malware yang disisipkan bekerja dengan cara mengganti alamat kripto secara diam-diam saat pengguna melakukan transaksi, sehingga dana bisa dialihkan ke wallet milik peretas.
“Jika menggunakan hardware wallet, perhatikan setiap detail transaksi sebelum menandatangani dan Anda akan tetap aman. Namun jika tidak menggunakan hardware wallet, sebaiknya hentikan dulu seluruh transaksi onchain untuk sementara waktu,” tulis Guillemet.
Baca juga: Platform DeFi Nemo Protocol Jadi Korban Hack, Rp39 Miliar Raib
Modus Phishing dan Malware
Menurut laporan BleepingComputer, peretas melancarkan serangan melalui phishing email dari domain tiruan “support@npmjs.help“. Email tersebut mengancam akan mengunci akun pengelola NPM pada 10 September 2025 jika tidak memperbarui autentikasi dua faktor melalui tautan palsu.
Setelah berhasil membobol akun pengembang, peretas menyisipkan malware ke dalam 18 pustaka JavaScript populer, termasuk “chalk”, “debug”, “ansi-styles”, “strip-ansi”, dan “color-convert”. Paket-paket ini memiliki unduhan kolektif lebih dari 2,6 miliar kali per minggu, sehingga dampaknya meluas hingga ke proyek kripto yang tidak menginstalnya secara langsung karena pustaka tersebut tersembunyi dalam dependency tree.
Malware tersebut berfungsi sebagai crypto clipper, mengganti alamat wallet tujuan secara diam-diam saat pengguna melakukan transaksi kripto di jaringan Ethereum, Bitcoin, Solana, Tron, Litecoin, hingga Bitcoin Cash.
Baca juga: Waspada, Hacker Temukan Cara Baru Sebar Malware Lewat Smart Contract Ethereum
Dampak Nyata Masih Terbatas
Meski skalanya masif, kerugian finansial dari serangan ini masih terbilang kecil. Security Alliance melaporkan bahwa sejauh ini peretas hanya berhasil mencuri kurang dari US$50 atau sekitar Rp820 ribu.
Dana yang tercatat masuk ke alamat berbahaya “0xFc4a48” terdiri dari Ether senilai beberapa sen, sekitar US$20 dalam bentuk memecoin, serta token lain seperti Brett (BRETT), Andy (ANDY), Dork Lord (DORK), Ethervista (VISTA), dan Gondola (GOND).
Peneliti keamanan pseudonim Samczsun bahkan menyebut peretas “tidak memanfaatkan sepenuhnya akses yang mereka miliki,” mengibaratkannya seperti menemukan kartu akses ke Fort Knox lalu hanya dipakai sebagai pembatas buku.
Kendati demikian, para peneliti tetap memperingatkan bahwa kerugian bisa bertambah seiring situasi berkembang.
Baca juga:
Siapa yang Aman, Siapa yang Terancam?
Sejumlah penyedia wallet kripto besar telah menegaskan bahwa layanan mereka tidak terdampak. Ledger dan MetaMask menyatakan sistem mereka memiliki lapisan pertahanan berlapis. Phantom Wallet juga menegaskan tidak menggunakan versi paket yang terinfeksi, sementara Uniswap menyebut aplikasinya tidak berisiko. Platform lain seperti Aerodrome, Blast, Blockstream Jade, dan Revoke.cash juga mengonfirmasi aman.
Meski begitu, Founder DeFiLlama, 0xngmi, memperingatkan bahwa proyek kripto yang memperbarui dependensi setelah paket berbahaya dipublikasikan masih bisa berisiko. Ia menekankan bahwa serangan ini tidak dapat langsung menguras dana pengguna tanpa adanya persetujuan transaksi, tetapi menyarankan agar pengguna menghindari situs kripto untuk sementara hingga pengembang memastikan kebersihan paket mereka.
Serangan terhadap repositori JavaScript bukanlah hal baru. Pada Maret 2025, sepuluh repositori populer NPM dilaporkan disusupi, disusul insiden pada Juli yang melibatkan “eslint-config-prettier” dengan 30 juta unduhan mingguan. Namun, serangan kali ini menjadi yang paling luas, baik dari jumlah pustaka yang terinfeksi maupun skala unduhannya.
Peneliti Aikido Security, Charlie Eriksen, menegaskan bahaya serangan ini yang “beroperasi di banyak lapisan, mengubah konten situs, memanipulasi panggilan API, dan menipu aplikasi agar menandatangani transaksi palsu.”
Dengan miliaran unduhan mingguan, dampak serangan ini berpotensi meluas ke hampir seluruh aplikasi dan proyek kripto yang bergantung pada repositori JavaScript.
“Selalu periksa setiap detail transaksi sebelum menandatangani (transaksi),” pungkas Guillemet.
Baca juga: World Liberty Financial Gagalkan Upaya Peretasan Pasca Listing WLFI
Dilla mulai menunjukkan minat menulis sejak SMP. Saat ini sedang mendalami bidang jurnalistik dan kripto.
Dilla mulai menunjukkan minat menulis sejak SMP. Saat ini sedang mendalami bidang jurnalistik dan kripto.
