Serangan Supply Chain di Library Solana Ancam Private Key Kripto

Kabar terbaru buat kamu yang sering ngoding dengan library @solana/web3.js: para peneliti keamanan menemukan serangan supply chain yang cukup mengerikan. Dua versi library ini, yaitu v1.95.6 dan v1.95.7, disusupi kode jahat yang bisa mencuri private key milik pengguna. Serangan ini ditujukan untuk menguras isi dompet kripto mereka. Wah, bahaya banget!

Library ini sebenarnya cukup populer di kalangan developer yang bekerja dengan ekosistem Solana. Setiap minggu, library ini diunduh lebih dari 400.000 kali untuk membangun aplikasi Node.js atau aplikasi web berbasis Solana. Tapi, dua versi yang terinfeksi ini sekarang sudah dihapus dari registry npm, jadi nggak bisa diunduh lagi.

Apa yang Terjadi?

Menurut laporan dari tim keamanan Socket, kode berbahaya dalam versi tersebut dirancang untuk mencuri private key. Ini bisa dilakukan karena fungsi tambahan bernama addToQueue disisipkan dalam versi v1.95.7. Fungsi ini terlihat seperti bagian dari library, tetapi ternyata tugas utamanya adalah mengirimkan private key ke server jarak jauh.

Peneliti keamanan Datadog, Christophe Tafani-Dereeper, menjelaskan bahwa fungsi ini menggunakan header Cloudflare yang terlihat "wajar" untuk menyembunyikan aktivitas pencurian data tersebut. Kunci-kunci yang dicuri dikirim ke server dengan alamat sol-rpc[.]xyz, yang untungnya sekarang sudah tidak aktif lagi.

Bagaimana Malware Ini Bisa Masuk?

Para peneliti menduga pengelola library @solana/web3.js menjadi korban serangan phishing. Akibatnya, akun mereka diambil alih oleh penyerang, yang kemudian memanfaatkan akses tersebut untuk mengunggah dua versi berisi kode jahat.

Salah satu pengelola library ini, Steven Luscher, mengonfirmasi bahwa akun dengan akses untuk menerbitkan versi library baru telah diretas. Dalam catatan perilisan versi v1.95.8, ia menulis bahwa paket yang terkena serangan ini hanya berdampak pada proyek yang secara langsung menangani private key.

Luscher juga menekankan bahwa dompet non-kustodian (non-custodial wallets) tidak terpengaruh oleh insiden ini, karena biasanya mereka tidak mengekspos private key selama transaksi.

Siapa yang Terkena Dampak?

Insiden ini hanya memengaruhi proyek-proyek yang:

1. Menggunakan versi v1.95.6 atau v1.95.7.
2. Secara langsung menangani private key.
3. Melakukan pembaruan library antara pukul 3:20 PM UTC hingga 8:25 PM UTC pada 2 Desember 2024.

Kalau kamu menggunakan @solana/web3.js, pastikan segera memperbarui ke versi terbaru! Sebagai langkah tambahan, pertimbangkan untuk mengganti otoritas kunci (authority keys) jika kamu merasa pernah menggunakan versi yang terinfeksi.

Ancaman Lain di Ekosistem npm

Kasus ini bukan satu-satunya ancaman yang ditemukan. Sebelumnya, tim Socket juga melaporkan paket npm palsu bernama solana-systemprogram-utils. Paket ini menyisipkan kode yang diam-diam mengalihkan dana ke dompet penyerang dalam 2% transaksi. Cerdiknya, 98% transaksi tetap berjalan normal untuk menghindari kecurigaan.

Selain itu, ada juga paket npm palsu seperti crypto-keccak, crypto-jsonwebtoken, dan crypto-bignumber. Semua paket ini berpura-pura menjadi library sah, tetapi sebenarnya dirancang untuk mencuri kredensial dan data dompet kripto.

Mengapa Ini Penting?

Serangan supply chain seperti ini sangat berbahaya karena menyasar kepercayaan para developer pada ekosistem open-source. Jika library yang biasa digunakan ternyata berisi malware, dampaknya bisa meluas, mulai dari kehilangan data pribadi hingga kerugian finansial yang besar.

Bagi organisasi, risiko ini lebih besar lagi. Sistem yang terinfeksi bisa menciptakan celah keamanan di seluruh lingkungan perusahaan, membuka peluang bagi eksploitasi skala besar.

Apa yang Harus Dilakukan?

1. Perbarui library: Selalu gunakan versi terbaru dari @solana/web3.js.
2. Ganti kunci otoritas: Jika kamu merasa terkena dampak, segera rotasi kunci.
3. Waspadai paket palsu: Jangan asal menggunakan library tanpa mengecek sumbernya terlebih dahulu.

Kejadian ini jadi pengingat penting untuk semua developer: keamanan harus selalu jadi prioritas utama, terutama saat bekerja dengan teknologi open-source. Jadi, tetap waspada dan pastikan langkah-langkah keamananmu selalu terdepan!