Peretas Selundupkan Malware di SDK Injective yang Diunduh 50.000 Kali untuk Mencuri Seed Phrase Pengembang

Peretas Selundupkan Malware di SDK Injective yang Diunduh 50.000 Kali untuk Mencuri Seed Phrase Pengembang

Peretas berhasil menyisipkan malware pencuri dompet ke dalam paket pengembang resmi Injective (INJ) di npm, yang biasanya mencatat sekitar 50.000 unduhan per minggu. Versi tercemar itu diunduh 310 kali sebelum akhirnya ditarik dalam proses pembersihan yang relatif cepat.

Poin Penting:

  • Versi tercemar dari kit TypeScript utama Injective menyalin seed phrase dan private key dompet saat digunakan secara normal.
  • Rilis berbahaya ini menyebar ke 18 paket, diunduh 310 kali, dan hanya aktif kurang dari satu jam.
  • Peneliti menegaskan seluruh key yang pernah melewati versi terdampak harus dianggap sudah bocor.

Rincian Backdoor di SDK Injective

Firma keamanan Socket mengungkap pada Kamis bahwa versi 1.20.21 dari paket @injectivelabs/sdk-ts di npm telah dimodifikasi lewat akun kontributor di GitHub yang berhasil dikompromikan. SDK ini merupakan komponen inti bagi dompet, bursa kripto, dan trading bot di atas Injective, blockchain layer-1 yang berfokus pada keuangan terdesentralisasi (DeFi).

Kode jahat tersebut menyamar sebagai modul analitik penggunaan yang tampak tidak berbahaya dan menyangkutkan diri pada fungsi yang mengubah seed phrase atau raw private key menjadi signing key yang dapat dipakai. Setiap kali aplikasi memanggil fungsi tersebut, kode itu diam-diam mencatat rahasia tersebut, mengumpulkannya selama dua detik, lalu mengirimkannya ke sebuah server yang disamarkan sebagai infrastruktur resmi Injective. Data curian dikemas di dalam header permintaan (request header), sehingga lalu lintasnya tampak seperti trafik biasa.

Proses publikasi otomatis kemudian mendorong versi beracun yang sama ke 17 paket terkait lainnya hanya dalam hitungan menit sejak commit berbahaya pertama, memperluas paparan ke tim pengembang yang bahkan tidak pernah memasang paket SDK utama secara langsung.

Analisis tingkat commit menunjukkan payload tersebut aktif mulai 8 Juli dan ditarik kurang dari satu jam kemudian, dengan versi bersih 1.20.23 yang dirilis tak lama sesudahnya.

CEO Injective Eric Chen diberitakan menyatakan masalah ini sudah diperbaiki dan tidak ada dana di jaringan yang berada dalam risiko. Namun, rilis yang dikompromikan itu hanya diberi status deprecated di npm, bukan dihapus sepenuhnya, sehingga secara teknis masih bisa diunduh. Artefak dari build tercemar itu juga masih ditemukan di GitHub pada saat pengungkapan.

Baca Juga: Momen ETF Solana Kian Sulit Diabaikan Usai Pengajuan Baru dari Bitwise

Mengapa Kunci Dompet Kripto Jadi Sasaran

Para peneliti menyebut insiden ini “signifikan bagi pengembang dan aplikasi yang menangani alur kerja dompet Injective,” kendati mereka tidak merinci apakah ada aset yang benar-benar sudah tercuri. Tim pengembang didesak memperlakukan seluruh key atau mnemonic yang pernah lewat di versi terdampak sebagai sudah bocor, memindahkan dana ke dompet baru, dan mengganti seluruh rahasia (secret) yang digunakan di lingkungan mereka.

Serangan semacam ini tidak menyentuh kriptografi inti blockchain itu sendiri. Sebaliknya, penyerang meracuni toolchain yang dipercaya para pengembang, menjadikan satu akun yang dibajak sebagai saluran distribusi yang bisa menyusup secara senyap ke ribuan aplikasi turunannya.

Hanya dari SDK yang dikompromikan ini saja, analis melaporkan terdapat 87 paket npm lain yang menjadi dependent langsung.

Insiden ini menambah daftar panjang tekanan terhadap ekosistem tool open-source kripto. Sebelumnya, rilis Axios di npm juga sempat dikompromikan pada Maret, disusul kampanye malware TrapDoor yang menargetkan pengembang kripto dan DeFi pada Mei. CertiK menempatkan kompromi dompet sebagai vektor serangan paling merugikan pada paruh pertama 2026, dengan total kerugian sekitar US$444 juta dari 33 insiden.

Baca Berikutnya: Grok 4.5 Tantang OpenAI dan Anthropic dengan AI Agen yang Lebih Murah

Penafian dan Peringatan Risiko: Informasi yang diberikan dalam artikel ini hanya untuk tujuan edukasi dan informasi dan berdasarkan opini penulis. Ini tidak merupakan saran keuangan, investasi, hukum, atau pajak. Aset kripto sangat fluktuatif dan mengalami risiko tinggi, termasuk risiko kehilangan seluruh atau sebagian besar investasi Anda. Trading atau memegang aset kripto mungkin tidak cocok untuk semua investor. Pandangan yang dinyatakan dalam artikel ini adalah pandangan penulis saja dan tidak mewakili kebijakan resmi atau posisi Yellow, pendirinya, atau eksekutifnya. Selalu lakukan riset menyeluruh Anda sendiri (D.Y.O.R.) dan konsultasikan dengan profesional keuangan berlisensi sebelum membuat keputusan investasi apapun.
Peretas Selundupkan Malware di SDK Injective yang Diunduh 50.000 Kali untuk Mencuri Seed Phrase Pengembang | Yellow.com