palo-alto-networks-logo
  • October 2, 2025

Ancaman Serangan Rantai Pasokan npm yang Mengancam Miliaran Unduhan Mingguan

Pada tanggal 8 September 2025, ekosistem JavaScript diguncang oleh serangan besar-besaran yang menargetkan 18 paket npm yang banyak digunakan. Paket-paket ini saja tercatat mendapatkan lebih dari 2,6 miliar unduhan setiap minggu. Ini menjadikan serangan tersebut salah satu yang paling signifikan dalam sejarah npm. Insiden ini menyoroti ancaman besar terkait serangan rantai pasokan yang semakin berkembang di lingkungan pengembangan berbasis cloud, serta pentingnya pendekatan keamanan yang mencegah serangan sejak awal.

Serangan pada Rantai Pasokan: Apa yang Terjadi?

Serangan ini dimulai dengan kampanye phishing yang sangat terarah terhadap seorang pemelihara paket bernama “qix”. Para penyerang menyamar sebagai pihak dukungan npm dan mengklaim bahwa kredensial autentikasi dua faktor pemelihara perlu diperbarui. Tanpa menyadarinya, pemelihara mengikuti instruksi tersebut dan memberikan akses ke akun mereka. Setelah mendapatkan akses, para penyerang mempublikasikan pembaruan berisi kode berbahaya ke 18 paket npm, termasuk pustaka terkenal seperti debug, chalk, dan ansi-styles.

Selama kurang lebih dua jam, versi berbahaya dari paket-paket ini dapat diunduh oleh para pengembang dan sistem otomatis yang menggunakan paket-paket tersebut. Pada jangka waktu yang sangat singkat ini, serangan berpotensi memengaruhi jutaan pengembang dan lingkungan cloud yang mengandalkan pustaka tersebut. Kode berbahaya yang disisipkan adalah jenis “crypto-stealer” atau “wallet-drainer” yang dirancang untuk mencuri aset kripto yang dipertukarkan di transaksi cryptocurrency.

Cara Kerja Malware dalam Serangan Ini

Malware yang disisipkan ke dalam paket npm yang terinfeksi dirancang untuk menargetkan dompet cryptocurrency, tetapi metode ini juga menyoroti ancaman yang lebih luas pada saluran pengembangan dan lingkungan cloud. Malware ini beroperasi dalam beberapa tahap sebagai berikut:

  1. Injeksi ke dalam Browser: Malware ini menyisipkan dirinya langsung ke dalam lingkungan browser dan mengakses fungsi-fungsi penting seperti fetch, XMLHttpRequest, dan API dompet seperti window.ethereum dan API Solana, yang memungkinkan malware ini untuk memantau lalu lintas web dan interaksi dompet secara real-time.

  2. Memantau Data Sensitif: Setelah aktif, malware ini memindai respons jaringan dan payload transaksi untuk mencari alamat dompet cryptocurrency dan detail transaksi. Malware ini dapat mengenali berbagai format dari berbagai jenis cryptocurrency, seperti Ethereum, Bitcoin, Solana, Tron, Litecoin, dan Bitcoin Cash.

  3. Mengubah Alamat Tujuan Transaksi: Begitu dompet atau transaksi terdeteksi, malware ini mengganti alamat tujuan transaksi yang sah dengan alamat yang dikendalikan oleh penyerang. Alamat yang digunakan sering kali mirip dengan yang sah, sehingga sulit untuk dibedakan, meningkatkan peluang pencurian.

  4. Mencuri Transaksi Sebelum Ditandatangani: Malware ini mengubah parameter transaksi sebelum pengguna menandatanganinya. Bagi Ethereum dan Solana, ini termasuk mengubah penerima, persetujuan, atau izin transaksi. Meskipun antarmuka pengguna terlihat benar, transaksi yang telah ditandatangani akan mengalihkan dana ke alamat penyerang.

  5. Menjaga Stealth: Malware ini sangat minim dalam menampilkan jejaknya agar tidak terdeteksi oleh alat keamanan konvensional. Bahkan jika dompet cryptocurrency terdeteksi, malware ini akan tetap diam di latar belakang dan menangkap serta mengubah transaksi nyata tanpa memberikan peringatan kepada pengguna.

Dampak Serangan dan Respons Keamanan

Serangan ini berlangsung hanya dua jam, tetapi dalam periode tersebut, siapa pun yang menginstal atau memperbarui paket npm yang terinfeksi berisiko mengunduh kode berbahaya. Meskipun begitu, komunitas pengembang dan vendor keamanan merespons dengan cepat:

  • Deteksi Komunitas: Pengembang mulai menyadari aktivitas mencurigakan dan segera melaporkannya di GitHub dan platform lainnya.

  • Tindakan Pemelihara: Setelah diberi tahu, pemelihara paket yang terinfeksi mengonfirmasi bahwa akun mereka telah dibobol dan segera bekerja sama dengan tim keamanan npm untuk membatalkan perubahan yang telah dilakukan.

  • Tim Keamanan npm: Tim keamanan npm segera menghapus versi berbahaya dari paket-paket tersebut dan mengamankan akun yang telah disusupi.

Mencegah Serangan Serupa dengan Pendekatan Keamanan yang Proaktif

Contoh kasus ini menunjukkan betapa pentingnya bagi setiap organisasi untuk memiliki pendekatan keamanan yang mencegah serangan sejak awal. Banyak pengembang yang terlalu mengandalkan integritas pustaka yang digunakan tanpa mempertimbangkan potensi ancaman dari serangan rantai pasokan.

Untuk itu, solusi seperti Cortex Cloud menawarkan perlindungan dengan memanfaatkan teknologi Software Bill of Materials (SBOM). Dengan SBOM, pengguna dapat memantau dan mendeteksi paket berisiko, bahkan sebelum aplikasi dibangun, saat proses pembangunan, atau bahkan saat runtime. Teknologi ini memungkinkan deteksi dan pemblokiran komponen berisiko yang dapat menyebabkan kerusakan lebih lanjut dalam rantai pasokan perangkat lunak.

Langkah yang Dapat Diambil oleh Tim Keamanan

Jika organisasi Anda menggunakan paket-paket yang terpengaruh, penting untuk segera memperbarui ke versi terbaru dari paket tersebut. Pastikan juga bahwa dalam proses pembangunan aplikasi, perintah npm install dikunci ke versi terbaru yang telah diamankan.

Selain itu, pastikan untuk menggunakan file package-lock.json yang dapat memastikan integritas paket yang diunduh. Penggunaan file ini akan memverifikasi bahwa hanya paket yang sah yang diinstal, mengurangi risiko memasukkan kode berbahaya.

Kesimpulan: Keamanan Supply Chain Harus Jadi Prioritas Utama

Serangan seperti ini adalah pengingat bagi kita semua akan pentingnya pengamanan dalam setiap tahap rantai pasokan perangkat lunak. Dengan pendekatan yang lebih proaktif dan mengintegrasikan solusi keamanan modern seperti Cortex Cloud, organisasi dapat melindungi diri dari ancaman yang tidak tampak ini. Jangan biarkan serangan supply chain merusak integritas dan keamanan aplikasi Anda—investasikan dalam langkah-langkah pencegahan yang dapat mengamankan rantai pasokan Anda sejak awal.

Dengan menjaga keamanan di seluruh proses pengembangan, kita bisa lebih siap menghadapi ancaman yang semakin kompleks. Jangan menunggu serangan besar datang—lindungi diri Anda dan organisasi Anda dari sekarang!

🤔 Penasaran dengan Solusi Palo Alto?

Kami bisa menjelaskan fitur-fitur Palo Alto secara lengkap, termasuk bagaimana teknologi kami bisa:

  • Mengurangi risiko serangan siber
  • Meningkatkan efisiensi operasional TI
  • Mempercepat transformasi digital di organisasi Anda

📩 Hubungi Kami Sekarang

Tim kami siap membantu Anda dengan informasi dan solusi yang Anda butuhkan. Jangan ragu untuk menghubungi kami dan cari tahu bagaimana kami bisa bantu memperkuat keamanan digital Anda.

Bersama kita bisa menciptakan masa depan yang lebih aman.