Peretas berhasil menyisipkan malware pencuri dompet ke dalam paket pengembang resmi Injective (INJ) di npm, yang biasanya mencatat sekitar 50.000 unduhan per minggu. Versi tercemar itu diunduh 310 kali sebelum akhirnya ditarik dalam proses pembersihan yang relatif cepat.
Poin Penting:
- Versi tercemar dari kit TypeScript utama Injective menyalin seed phrase dan private key dompet saat digunakan secara normal.
- Rilis berbahaya ini menyebar ke 18 paket, diunduh 310 kali, dan hanya aktif kurang dari satu jam.
- Peneliti menegaskan seluruh key yang pernah melewati versi terdampak harus dianggap sudah bocor.
Rincian Backdoor di SDK Injective
Firma keamanan Socket mengungkap pada Kamis bahwa versi 1.20.21 dari paket @injectivelabs/sdk-ts di npm telah dimodifikasi lewat akun kontributor di GitHub yang berhasil dikompromikan. SDK ini merupakan komponen inti bagi dompet, bursa kripto, dan trading bot di atas Injective, blockchain layer-1 yang berfokus pada keuangan terdesentralisasi (DeFi).
Kode jahat tersebut menyamar sebagai modul analitik penggunaan yang tampak tidak berbahaya dan menyangkutkan diri pada fungsi yang mengubah seed phrase atau raw private key menjadi signing key yang dapat dipakai. Setiap kali aplikasi memanggil fungsi tersebut, kode itu diam-diam mencatat rahasia tersebut, mengumpulkannya selama dua detik, lalu mengirimkannya ke sebuah server yang disamarkan sebagai infrastruktur resmi Injective. Data curian dikemas di dalam header permintaan (request header), sehingga lalu lintasnya tampak seperti trafik biasa.
Proses publikasi otomatis kemudian mendorong versi beracun yang sama ke 17 paket terkait lainnya hanya dalam hitungan menit sejak commit berbahaya pertama, memperluas paparan ke tim pengembang yang bahkan tidak pernah memasang paket SDK utama secara langsung.
Analisis tingkat commit menunjukkan payload tersebut aktif mulai 8 Juli dan ditarik kurang dari satu jam kemudian, dengan versi bersih 1.20.23 yang dirilis tak lama sesudahnya.
CEO Injective Eric Chen diberitakan menyatakan masalah ini sudah diperbaiki dan tidak ada dana di jaringan yang berada dalam risiko. Namun, rilis yang dikompromikan itu hanya diberi status deprecated di npm, bukan dihapus sepenuhnya, sehingga secara teknis masih bisa diunduh. Artefak dari build tercemar itu juga masih ditemukan di GitHub pada saat pengungkapan.
Baca Juga: Momen ETF Solana Kian Sulit Diabaikan Usai Pengajuan Baru dari Bitwise
Mengapa Kunci Dompet Kripto Jadi Sasaran
Para peneliti menyebut insiden ini “signifikan bagi pengembang dan aplikasi yang menangani alur kerja dompet Injective,” kendati mereka tidak merinci apakah ada aset yang benar-benar sudah tercuri. Tim pengembang didesak memperlakukan seluruh key atau mnemonic yang pernah lewat di versi terdampak sebagai sudah bocor, memindahkan dana ke dompet baru, dan mengganti seluruh rahasia (secret) yang digunakan di lingkungan mereka.
Serangan semacam ini tidak menyentuh kriptografi inti blockchain itu sendiri. Sebaliknya, penyerang meracuni toolchain yang dipercaya para pengembang, menjadikan satu akun yang dibajak sebagai saluran distribusi yang bisa menyusup secara senyap ke ribuan aplikasi turunannya.
Hanya dari SDK yang dikompromikan ini saja, analis melaporkan terdapat 87 paket npm lain yang menjadi dependent langsung.
Insiden ini menambah daftar panjang tekanan terhadap ekosistem tool open-source kripto. Sebelumnya, rilis Axios di npm juga sempat dikompromikan pada Maret, disusul kampanye malware TrapDoor yang menargetkan pengembang kripto dan DeFi pada Mei. CertiK menempatkan kompromi dompet sebagai vektor serangan paling merugikan pada paruh pertama 2026, dengan total kerugian sekitar US$444 juta dari 33 insiden.
Baca Berikutnya: Grok 4.5 Tantang OpenAI dan Anthropic dengan AI Agen yang Lebih Murah





