Sumber Terbuka proyek menyimpan kode berbahaya, Kunci Pribadi pengguna Solana dicuri

Pada awal Juli 2025, sebuah insiden serangan jahat terhadap pengguna Solana menarik perhatian tim keamanan. Seorang pengguna yang menggunakan proyek sumber terbuka yang dihosting di GitHub, menemukan bahwa aset kripto mereka dicuri. Setelah penyelidikan mendalam, para ahli keamanan mengungkapkan kronologi kejadian ini.

Kejadian ini berawal dari sebuah proyek GitHub bernama "solana-pumpfun-bot". Proyek ini tampaknya memiliki jumlah star dan fork yang cukup tinggi, tetapi sejarah pengiriman kodenya sangat terpusat, dan kurang memiliki karakter pembaruan yang berkelanjutan. Analisis lebih lanjut mengungkapkan bahwa proyek ini bergantung pada sebuah paket pihak ketiga yang mencurigakan "crypto-layout-utils".

Paket yang mencurigakan ini telah dihapus oleh npm resmi, dan versi yang ditentukan tidak dapat ditemukan dalam catatan sejarah resmi. Dengan memeriksa file package-lock.json, para peneliti menemukan bahwa penyerang dengan cerdik mengganti tautan unduhan paket tersebut dengan alamat halaman rilis GitHub.

Setelah mengunduh dan menganalisis paket berbahaya yang sangat tersamar ini, tim keamanan mengonfirmasi bahwa paket tersebut mengandung kode jahat yang memindai file komputer pengguna. Begitu menemukan konten yang terkait dengan dompet atau Kunci Pribadi, konten tersebut akan diunggah ke server yang dikendalikan oleh penyerang.

Investigasi juga menemukan bahwa penyerang mungkin mengendalikan beberapa akun GitHub untuk menyebarkan perangkat lunak berbahaya dan meningkatkan kepercayaan proyek. Mereka menarik perhatian lebih banyak pengguna melalui operasi Fork dan Star, memperluas jangkauan serangan.

Selain "crypto-layout-utils", paket jahat lain bernama "bs58-encrypt-utils" juga digunakan untuk serangan serupa. Ini menunjukkan bahwa penyerang setelah menghapus paket di npm, beralih menggunakan cara mengganti tautan unduhan untuk terus mendistribusikan kode jahat.

Analisis di blockchain menunjukkan bahwa dana yang dicuri mengalir ke platform perdagangan cryptocurrency setelah melalui beberapa dompet perantara.

Peristiwa ini menyoroti tantangan keamanan yang dihadapi oleh komunitas sumber terbuka. Penyerang berhasil menggoda pengguna untuk menjalankan kode yang mengandung ketergantungan berbahaya dengan menyamar sebagai proyek yang sah dan meningkatkan popularitas, yang mengakibatkan kebocoran kunci pribadi dan kehilangan aset.

Para ahli keamanan menyarankan pengembang dan pengguna untuk tetap waspada terhadap proyek GitHub yang tidak diketahui sumbernya, terutama yang melibatkan dompet atau Kunci Pribadi. Jika perlu melakukan debug, sebaiknya dilakukan di lingkungan terisolasi untuk menghindari kebocoran data sensitif.

Kejadian ini melibatkan beberapa repositori GitHub dan paket npm yang berbahaya, tim keamanan telah mengumpulkan informasi terkait untuk referensi komunitas. Pengembang harus berhati-hati dalam menggunakan ketergantungan pihak ketiga, secara berkala memeriksa keamanan proyek, dan bersama-sama memelihara perkembangan ekosistem Sumber Terbuka yang sehat.