2025-12-30 05:24:56

Tahun ini bulan Maret, komunitas pengembang mengungkapkan sebuah insiden keamanan yang mencengangkan—ratusan juta paket JavaScript yang diunduh disusupi kode jahat pencurian koin. Komponen open-source yang tampaknya tidak bermasalah ini, sebenarnya dilengkapi dengan program pencurian cryptocurrency yang dirancang secara cermat oleh peretas. Penyerang memanfaatkan pencemaran dependensi inti dalam ekosistem npm untuk membangun mekanisme penyebaran kode berbahaya yang sepenuhnya otomatis.

**Bagaimana Operasi Serangan Tersembunyi Tiga Lapis Berfungsi**

Inti dari serangan ini adalah "penyanderaan dependensi"—ketika Anda mengimpor perpustakaan pihak ketiga yang tercemar ke dalam proyek, kode jahat akan diam-diam aktif dan mulai memindai file dompet kripto lokal Anda. Ada tiga desain licik dalam mekanisme ini:

Pertama adalah **penyamaran lingkungan**. Program hanya aktif di IP wilayah tertentu atau dengan bahasa sistem tertentu, dan berpura-pura tidak bersalah dalam lingkungan pengujian sandbox. Dengan begitu, deteksi keamanan tidak akan pernah menangkapnya.

Kedua adalah **pengintipan kunci**. Untuk aplikasi dompet desktop yang dibangun dengan kerangka Electron, peretas memanfaatkan izin file sistem untuk langsung mencuri informasi kunci pribadi. Pengguna sama sekali tidak menyadarinya.

Ketiga adalah **pencucian uang di chain**. Aset yang dicuri diubah menjadi mata uang privasi melalui jembatan lintas chain, lalu dimasukkan ke dalam pool likuiditas DEX tertentu untuk dicuci. Setelah dana masuk ke lubang hitam DeFi, pelacakan hampir tidak mungkin dilakukan.

**Mengapa Ekosistem Open-Source Begitu Rentan**

Insiden ini mengungkap kekurangan fatal dalam dunia open-source: lebih dari 78% proyek JavaScript bergantung pada perpustakaan pihak ketiga yang sama sekali belum menjalani audit keamanan. Peretas hanya perlu menguasai akun salah satu pemelihara untuk menyuntikkan kode jahat ke seluruh rantai dependensi. Setelah sumber pencemaran tercemar, semua proyek yang menggunakannya di hilir akan ikut terkena dampaknya. Dan aset yang dicuri kemudian melalui mekanisme pencampuran uang mengalir ke jaringan keuangan ilegal. Ini bukan sekadar masalah teknis, melainkan ancaman ekonomi baru di era digital.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

6 Suka

Hadiah
6
4
Posting ulang
Bagikan

Komentar

0/400

AirdropHunter

· 14jam yang lalu

Ya Tuhan, apakah ekosistem npm begitu dibesar-besarkan? Siapa pun bisa meracuni dengan santai --- Set pencucian uang on-chain benar-benar luar biasa, dan begitu Anda memasuki kumpulan likuiditas DEX, itu menjadi aset hantu --- 78%... Saya mengatakan bahwa saya lebih nyaman menulis perpustakaan, dan sekarang saya akhirnya punya alasan haha --- Oleh karena itu, pengembang dipaksa untuk menjadi kaki tangan, dan akun pembela akan mati segera setelah hilang, yang benar-benar keterlaluan --- Tunggu, maka Kuan yang kita gunakan tidak aman, dan saya sedikit panik --- Mencampur koin ke koin privasi dan kemudian pencucian uang DeFi, tautan serangan ini dirancang agak kejam, dengan kata lain, sedikit artistik --- Hanya saja model kepercayaan npm telah runtuh, dan tidak ada yang mau mengubahnya --- Saya bahkan tidak tahu bagaimana mencegah peretas memindai file dompet lokal, jadi apa lagi yang terjadi? --- Rantai ketergantungan adalah rantai beracun, dan semua orang jahat di hulu terkubur, yang terlalu putus asa

Lihat AsliBalas0

StakeTillRetire

· 15jam yang lalu

Sialan, seberapa parah ini, ekosistem npm benar-benar runtuh? --- Inilah sebabnya mengapa saya tidak pernah mempercayai perpustakaan dari para pemelihara kecil, satu rantai ketergantungan saja bisa langsung runtuh --- Sniffing kunci ini luar biasa, pengguna sama sekali tidak menyadari apa yang terjadi --- Jadi akhirnya uang benar-benar mengalir ke DEX, tidak bisa dilindungi oleh sistem campur aduk ini --- Apakah kesadaran keamanan pemelihara proyek open source begitu buruk, membuat saya harus mempertimbangkan ulang semua ketergantungan saya --- Setelah dipikir-pikir, untungnya kunci pribadi dompet saya tidak pernah ada di perangkat yang terhubung internet, dompet dingin benar-benar menyelamatkan --- Sungguh aneh, hanya satu akun yang diretas bisa meracuni seluruh ekosistem, npm harus merenung --- 78% proyek sama dengan berjalan telanjang, data ini membuat punggung saya merinding

Lihat AsliBalas0

Token_Sherpa

· 15jam yang lalu

ngl mimpi buruk rantai ketergantungan ini adalah alasan mengapa saya berhenti mempercayai paket "diaudit" bertahun-tahun yang lalu... serangan rantai pasokan terasa berbeda ketika seluruh tumpukan Anda dibangun di atas kode yang tidak diverifikasi

Lihat AsliBalas0

SelfCustodyIssues

· 15jam yang lalu

Kini ekosistem npm benar-benar berakhir, siapa yang berani menggunakan perpustakaan pihak ketiga? --- Kamuflase lingkungan adalah trik yang bagus, dan kotak pasir tertipu, betapa kejamnya itu --- Jadi saya masih harus mengaudit setiap baris kode sendiri, itu melelahkan --- Kumpulan likuiditas DEX telah menjadi lubang hitam untuk pencucian uang, dan ada masalah dengan desain sistem DeFi --- Menghapus akun pengelola dapat meracuni seluruh rantai... Open source benar-benar luar biasa --- Ini adalah serangan rantai pasokan yang sebenarnya, lebih menakutkan daripada ransomware --- 78% perpustakaan belum diaudit? Lalu bukankah ketergantungan dalam proyek saya adalah bom waktu? --- Apa yang dapat Anda lakukan jika kunci pribadi Anda dicuri secara langsung, ini adalah risiko hosting mandiri --- Menjembatani lintas rantai ke koin privasi dan kemudian ke DEX adalah kejahatan yang sempurna --- NPM harus memaksa audit keamanan pada setiap paket, yang sekarang terlalu sewenang-wenang

Lihat AsliBalas0