Pengguna Solana Mengalami Kasus Pencurian Kunci Pribadi: Paket NPM Jahat Menjadi Alat Serangan

Pada awal Juli 2025, sebuah insiden pencurian kunci pribadi pengguna Solana menarik perhatian para ahli keamanan. Seorang pengguna menemukan bahwa aset kriptonya dicuri setelah menggunakan sebuah proyek sumber terbuka di GitHub. Setelah penyelidikan mendalam, tim keamanan mengungkapkan sebuah rantai serangan yang dirancang dengan cermat, yang melibatkan proyek sumber terbuka yang menyamar, paket NPM jahat, dan kolaborasi dari beberapa akun GitHub.

Penyebab kejadian ini adalah proyek GitHub bernama solana-pumpfun-bot. Proyek ini tampaknya cukup populer, dengan jumlah Star dan Fork yang tinggi. Namun, setelah diperhatikan lebih dekat, waktu pengiriman kode proyek ini terkonsentrasi dalam jangka waktu yang singkat, kurang memiliki karakteristik pembaruan yang berkelanjutan, yang menimbulkan kewaspadaan para ahli keamanan.

Analisis lebih lanjut menemukan bahwa proyek ini bergantung pada paket pihak ketiga yang mencurigakan bernama crypto-layout-utils. Paket ini telah dihapus oleh NPM resmi, dan nomor versi yang ditentukan tidak ada dalam catatan sejarah NPM. Penyerang mengubah file package-lock.json untuk mengarahkan tautan unduhan paket ke repositori GitHub yang mereka kendalikan.

Paket NPM jahat ini sangat terobfuscasi, yang meningkatkan kesulitan analisis. Setelah dideobfuscate, tim keamanan mengonfirmasi sifat jahatnya: paket ini akan memindai file komputer pengguna, mencari konten terkait dompet atau Kunci Pribadi, dan mengunggah informasi sensitif yang ditemukan ke server yang dikendalikan oleh penyerang.

Metode penyerang cukup licik. Mereka diduga mengendalikan sekelompok akun GitHub untuk Fork proyek jahat dan mendistribusikannya, sekaligus menarik lebih banyak pengguna dengan meningkatkan jumlah Fork dan Star proyek. Selain itu, tim keamanan juga menemukan paket jahat lain yang bernama bs58-encrypt-utils, dan diperkirakan bahwa aktivitas serangan mungkin sudah dimulai sejak pertengahan Juni 2025.

Melalui alat analisis on-chain, tim keamanan melacak bahwa sebagian dana yang dicuri mengalir ke suatu platform perdagangan.

Peristiwa ini menyoroti tantangan keamanan yang dihadapi oleh komunitas sumber terbuka. Penyerang menyamar sebagai proyek yang sah, menggabungkan rekayasa sosial dan teknik, berhasil membujuk pengguna untuk menjalankan kode yang membawa ketergantungan berbahaya, yang mengakibatkan kebocoran Kunci Pribadi dan kehilangan aset.

Untuk mencegah risiko serupa, disarankan agar pengembang dan pengguna tetap waspada terhadap proyek GitHub yang tidak diketahui asalnya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan yang terpisah dan tanpa data sensitif. Selain itu, komunitas open-source juga perlu memperkuat audit dan pengawasan terhadap proyek, meningkatkan kesadaran keamanan pengguna, dan bersama-sama memelihara ekosistem pengembangan yang lebih aman.