Peretas berhasil menyusupkan malware pencuri dompet ke dalam paket pengembang resmi Injective (INJ) di npm, yang rata-rata diunduh sekitar 50.000 kali per pekan. Rilis berbahaya itu sempat diunduh 310 kali sebelum akhirnya dibersihkan dengan cepat.
Poin Penting:
- Versi tercemar dari kit TypeScript utama Injective menyalin seed phrase dan private key dompet selama penggunaan normal.
- Rilis berbahaya menyebar ke 18 paket, diunduh 310 kali dan hanya aktif kurang dari satu jam.
- Peneliti menegaskan seluruh kunci yang pernah melewati versi terdampak harus diperlakukan sebagai terkompromi.
Detail Backdoor di SDK Injective
Firma keamanan Socket mengungkap pada Kamis bahwa versi 1.20.21 dari paket @injectivelabs/sdk-ts di npm telah dimodifikasi melalui akun kontributor GitHub yang berhasil diambil alih. SDK ini merupakan komponen inti bagi pengembangan dompet, bursa kripto, dan trading bot di jaringan Injective, blockchain layer-1 yang berfokus pada keuangan terdesentralisasi (DeFi).
Kode jahat tersebut menyamar sebagai modul analitik penggunaan yang tampak wajar dan mengait ke fungsi yang mengubah seed phrase atau raw private key menjadi signing key yang dapat dipakai. Setiap kali aplikasi memanggil fungsi-fungsi ini, kode tersebut diam-diam merekam data rahasia itu, mengumpulkannya selama sekitar dua detik, lalu mengirimkannya ke sebuah server yang dibuat mirip dengan infrastruktur resmi Injective. Data curian disisipkan dalam header permintaan (request header), sehingga lalu lintasnya tampak seperti trafik normal.
Proses publikasi otomatis di npm kemudian mendorong versi beracun yang sama ke 17 paket terkait lainnya hanya dalam hitungan menit setelah commit berbahaya pertama, memperluas permukaan paparan hingga ke tim pengembang yang bahkan tidak memasang SDK utama secara langsung.
Analisis pada level commit menunjukkan payload mulai aktif pada 8 Juli dan ditarik kembali dalam waktu kurang dari satu jam, dengan versi bersih 1.20.23 menyusul tak lama setelahnya.
CEO Injective Eric Chen dikabarkan menyatakan bahwa masalah sudah ditangani dan tidak ada dana di jaringan yang berisiko. Namun, rilis yang terkompromi itu hanya ditandai deprecated di npm, bukan dihapus, sehingga secara teknis masih dapat diunduh. Artefak dari build tercemar juga masih tersedia di GitHub pada saat insiden ini diungkap ke publik.
Baca Juga: Momen ETF Solana Kian Sulit Diabaikan Setelah Pengajuan Baru Bitwise
Mengapa Kunci Dompet Kripto Jadi Sasaran
Para peneliti menyebut insiden ini sebagai ancaman “signifikan bagi pengembang dan aplikasi yang menangani alur kerja dompet Injective,” meski mereka tidak merinci apakah ada aset yang benar-benar telah dicuri. Tim pengembang didesak untuk menganggap setiap key atau mnemonic yang pernah bersentuhan dengan versi terdampak sebagai bocor, segera memindahkan dana ke dompet baru dan merotasi seluruh secret di lingkungan mereka.
Serangan seperti ini tidak menyentuh lapisan kriptografi blockchain secara langsung. Penyerang justru meracuni toolchain tepercaya yang digunakan pengembang, menjadikan satu akun yang diretas sebagai kanal distribusi senyap yang dapat menembus ribuan aplikasi hilir sekaligus.
Hanya dari satu kit yang terkompromi ini saja, analis melaporkan terdapat 87 paket npm lain yang bergantung langsung padanya.
Insiden ini menutup periode berat bagi ekosistem open-source kripto, menyusul kompromi serupa pada rilis Axios di npm pada Maret dan kampanye malware TrapDoor yang menargetkan pengembang kripto dan DeFi pada Mei. CertiK menempatkan kompromi dompet sebagai vektor serangan paling merugikan sepanjang paruh pertama 2026, dengan total kerugian sekitar US$444 juta dari 33 insiden.
Baca Selanjutnya: Grok 4.5 Tantang OpenAI dan Anthropic dengan AI Agen yang Lebih Murah





