Kripto komunitas yang menjadi target dan menghadapi gelombang serangan siber yang semakin meningkat, telah memulai rantai pasokan perangkat lunak yang canggih yang bertujuan untuk mengancam dompet Web3 yang banyak digunakan, termasuk Atomic Wallet dan Exodus.
Menurut ReversingLabs (RL) peneliti, pusat kampanye serangan jahat adalah pengelola paket npm, yang merupakan platform populer bagi pengembang JavaScript dan Node.js. Para penyerang mengunduh paket menipu bernama pdf-to-office yang salah diperkenalkan sebagai alat untuk mengonversi file PDF ke format Microsoft Office. Sebaliknya, paket tersebut membawa kode jahat yang dirancang untuk mengambil alih instalasi lokal perangkat lunak dompet kripto yang sah.
Setelah paket Pdf-to-office dijalankan, ia secara diam-diam menyuntikkan tambalan berbahaya ke versi yang diinstal secara lokal dari Atomic Wallet dan Exodus. Tambalan ini menggantikan kode yang sah dengan versi yang dimodifikasi yang memungkinkan penyerang untuk menghalangi dan mengalihkan transaksi kripto. Dalam aplikasi, pengguna yang mencoba mengirim uang mendapati bahwa transaksi mereka dialihkan ke dompet yang dikendalikan oleh penyerang dan tidak ada tanda intervensi yang terlihat.
Serangan memanfaatkan teknik yang halus dan semakin populer: Pelaku jahat kini menanamkan kode berbahaya ke dalam lingkungan lokal dengan menerapkan patch pada perangkat lunak yang sah yang sudah terinstal di sistem korban, alih-alih mengambil alih paket sumber terbuka hulu secara langsung.
paket pdf-to-office pertama kali muncul di npm pada Maret 2025 dan beberapa versi dirilis secara berturut-turut. Versi terbaru yaitu 1.1.2, dirilis pada 1 April. Peneliti RL mendeteksi paket tersebut dengan menggunakan analisis perilaku yang berfokus pada pembelajaran mesin di platform Spectra Assure. Diketahui bahwa kode tersebut mengandung JavaScript tersembunyi, yang merupakan tanda merah yang umum dalam kampanye malware npm terbaru.
Menarik untuk dicatat bahwa efek dari paket berbahaya terus berlanjut bahkan setelah paket tersebut dihapus. Setelah dompet Web3 diperbaiki, hanya menghapus paket npm palsu tidak menghilangkan bahaya. Korban harus sepenuhnya menghapus dan menginstal ulang aplikasi dompet untuk menghapus komponen trojan dan memulihkan integritas dompet.
Konten ini hanya untuk referensi, bukan ajakan atau tawaran. Tidak ada nasihat investasi, pajak, atau hukum yang diberikan. Lihat Penafian untuk pengungkapan risiko lebih lanjut.
Alarm Trojan Baru yang Mempengaruhi Pengguna Mata Uang Kripto! Jangan Unduh Berkas Berjudul Ini!
Kripto komunitas yang menjadi target dan menghadapi gelombang serangan siber yang semakin meningkat, telah memulai rantai pasokan perangkat lunak yang canggih yang bertujuan untuk mengancam dompet Web3 yang banyak digunakan, termasuk Atomic Wallet dan Exodus.
Menurut ReversingLabs (RL) peneliti, pusat kampanye serangan jahat adalah pengelola paket npm, yang merupakan platform populer bagi pengembang JavaScript dan Node.js. Para penyerang mengunduh paket menipu bernama pdf-to-office yang salah diperkenalkan sebagai alat untuk mengonversi file PDF ke format Microsoft Office. Sebaliknya, paket tersebut membawa kode jahat yang dirancang untuk mengambil alih instalasi lokal perangkat lunak dompet kripto yang sah.
Setelah paket Pdf-to-office dijalankan, ia secara diam-diam menyuntikkan tambalan berbahaya ke versi yang diinstal secara lokal dari Atomic Wallet dan Exodus. Tambalan ini menggantikan kode yang sah dengan versi yang dimodifikasi yang memungkinkan penyerang untuk menghalangi dan mengalihkan transaksi kripto. Dalam aplikasi, pengguna yang mencoba mengirim uang mendapati bahwa transaksi mereka dialihkan ke dompet yang dikendalikan oleh penyerang dan tidak ada tanda intervensi yang terlihat.
Serangan memanfaatkan teknik yang halus dan semakin populer: Pelaku jahat kini menanamkan kode berbahaya ke dalam lingkungan lokal dengan menerapkan patch pada perangkat lunak yang sah yang sudah terinstal di sistem korban, alih-alih mengambil alih paket sumber terbuka hulu secara langsung.
paket pdf-to-office pertama kali muncul di npm pada Maret 2025 dan beberapa versi dirilis secara berturut-turut. Versi terbaru yaitu 1.1.2, dirilis pada 1 April. Peneliti RL mendeteksi paket tersebut dengan menggunakan analisis perilaku yang berfokus pada pembelajaran mesin di platform Spectra Assure. Diketahui bahwa kode tersebut mengandung JavaScript tersembunyi, yang merupakan tanda merah yang umum dalam kampanye malware npm terbaru.
Menarik untuk dicatat bahwa efek dari paket berbahaya terus berlanjut bahkan setelah paket tersebut dihapus. Setelah dompet Web3 diperbaiki, hanya menghapus paket npm palsu tidak menghilangkan bahaya. Korban harus sepenuhnya menghapus dan menginstal ulang aplikasi dompet untuk menghapus komponen trojan dan memulihkan integritas dompet.