Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key
icon search
icon search

Top Performers

Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key

Home / Artikel & Tutorial / judul_artikel

Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key

Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key

Daftar Isi

Hacker kembali mengubah pola serangan di industri crypto. Kali ini, targetnya bukan blockchain atau smart contract, melainkan package perangkat lunak yang digunakan developer untuk membangun aplikasi di jaringan Injective.

Perusahaan keamanan siber Socket menemukan malware yang disisipkan ke dalam package @injectivelabs/sdk-ts di npm (Node Package Manager). 

Malware tersebut dirancang untuk mencuri private key dan seed phrase wallet crypto, sehingga berpotensi membahayakan aplikasi yang menggunakan package tersebut.

“Rilis berbahaya tersebut menyusup ke fungsi pembentukan private key pada wallet, merekam private key dan seed phrase (mnemonic), lalu mengirimkannya melalui sistem telemetri palsu,” jelas peneliti Socket dikutip dari Cointelegraph.

 

Package Injective Disusupi Malware

 

pasted image 549 640x489

Sumber Gambar: Socket via Cointelegraph

 

Menurut Socket, package @injectivelabs/sdk-ts yang memiliki sekitar 50.000 unduhan per minggu dimodifikasi setelah akun GitHub salah satu developer berhasil dikompromikan.

Versi 1.20.21 menjadi titik awal penyebaran malware, dengan aktivitas mencurigakan mulai terdeteksi sejak 8 Juni 2026.

Package tersebut juga digunakan sebagai dependency pada 17 package lain dalam ekosistem npm milik Injective Labs, sehingga cakupan risikonya menjadi lebih luas.

Socket mencatat package berbahaya tersebut telah diunduh lebih dari 300 kali sebelum akhirnya ditemukan dan dihapus.

 

Baca juga berita terkait: BlackRock Mulai Kurangi Saham AI, Berpotensi Beralih ke Bitcoin?

 

Malware Diam-diam Mencuri Private Key

Malware bekerja dengan menyusup ke fungsi yang digunakan aplikasi untuk membuat atau memproses wallet crypto.

Saat fungsi tersebut dijalankan, malware akan merekam private key dan seed phrase (mnemonic), kemudian mengenkripsi data tersebut sebelum mengirimkannya ke server milik pelaku yang dibuat menyerupai layanan resmi Injective.

Karena prosesnya berlangsung di balik layar, developer maupun pengguna aplikasi tidak akan menyadari bahwa kredensial wallet mereka sedang disalin.

Socket mengingatkan bahwa seluruh private key maupun mnemonic yang pernah diproses menggunakan package terdampak sebaiknya dianggap telah dikompromikan dan segera diganti.

 

Injective Pastikan Jaringan Tetap Aman

Insiden ini tidak memengaruhi keamanan blockchain Injective maupun dana yang tersimpan di dalam jaringannya.

CEO Injective, Eric Chen, mengatakan package yang bermasalah telah diperbaiki dan versi terdampak sudah ditandai sebagai deprecated di npm agar tidak lagi digunakan.

“Masalah tersebut telah diperbaiki dan versi package yang terdampak di npm sudah tidak lagi direkomendasikan untuk digunakan (deprecated),” jelasnya.

Hingga laporan dipublikasikan, Socket juga belum menemukan bukti bahwa malware tersebut berhasil mencuri aset pengguna. 

Namun, perusahaan keamanan itu menyebut kampanye serangan ini masih belum sepenuhnya berhasil dihentikan.

 

Baca lainnya: Bitwise Coret 2 Altcoin Ini dari ETF Andalannya, HYPE Jadi Penggantinya

 

Serangan Supply Chain Makin Sering Terjadi

Kasus Injective menunjukkan meningkatnya ancaman software supply chain attack, yaitu serangan yang menargetkan library, SDK, atau package yang digunakan developer, bukan langsung menyerang jaringan blockchain.

Menurut Security Alliance (SEAL), hacker kini semakin sering memanfaatkan platform seperti GitHub dan npm sebagai media distribusi malware. 

“Dalam beberapa kasus, sistem yang telah dikompromikan digunakan untuk menyisipkan kode berbahaya langsung ke repositori GitHub milik perusahaan, sehingga satu insiden peretasan dapat menjadi titik awal penyebaran malware ke target berikutnya,” katanya. 

Sebelumnya, pola serupa juga ditemukan pada serangan terhadap package Axios di npm serta malware TrapDoor yang menargetkan developer crypto, DeFi, AI, dan keamanan siber.

Tren ini sejalan dengan laporan CertiK yang mencatat kompromi wallet sebagai penyebab kerugian terbesar di industri crypto pada paruh pertama 2026, dengan total kerugian mencapai US$444 juta dari 33 insiden.

 

Kesimpulan

Insiden pada package Injective menjadi bukti bahwa ancaman keamanan di industri crypto terus berkembang. 

Alih-alih menyerang blockchain secara langsung, hacker kini memanfaatkan software yang dipercaya developer sebagai jalur untuk mencuri kredensial wallet.

Meski Injective memastikan jaringannya tetap aman dan package yang terinfeksi telah dinonaktifkan, kasus ini menjadi pengingat bahwa keamanan aset digital juga bergantung pada keamanan library, SDK, dan dependency yang digunakan dalam proses pengembangan aplikasi.

 

FAQ

  • Apa itu software supply chain attack?
    Software supply chain attack adalah metode serangan yang menyisipkan malware ke dalam library, SDK, atau package yang digunakan developer. Dengan cara ini, hacker dapat menyebarkan kode berbahaya ke banyak aplikasi sekaligus tanpa menyerang blockchain secara langsung.
  • Apakah pengguna Injective perlu khawatir?
    Risiko terbesar berada pada developer atau aplikasi yang menggunakan versi package yang telah disusupi malware. Pengguna disarankan memastikan aplikasi wallet yang digunakan telah menerima pembaruan keamanan dari pengembangnya.
  • Apa perbedaan private key dan seed phrase?
    Private key adalah kunci rahasia untuk mengakses aset crypto di dalam wallet. Sementara seed phrase merupakan rangkaian kata yang berfungsi memulihkan wallet apabila perangkat hilang atau diganti.
  • Mengapa GitHub dan npm sering menjadi target hacker?
    GitHub dan npm digunakan jutaan developer di seluruh dunia. Jika satu package populer berhasil disusupi, malware dapat menyebar ke banyak aplikasi yang menggunakannya sehingga dampaknya jauh lebih luas.
  • Bagaimana cara melindungi wallet dari serangan seperti ini?
    Developer sebaiknya selalu menggunakan dependency versi terbaru, memverifikasi sumber package sebelum menginstalnya, serta segera mengganti private key atau seed phrase apabila diketahui pernah diproses menggunakan software yang telah dikompromikan.

 

Itulah berita crypto hari ini terkait kabar terbaru di pasar kripto, termasuk pergerakan harga Bitcoin dan kripto utama lainnya. Aktifkan notifikasi untuk mendapatkan update terkini dan edukasi dari Akademi Crypto seputar aset digital dan teknologi blockchain hanya di INDODAX Academy.

Pelajari kripto lebih dalam dari A – Z mulai dari pergerakan pasar, indikator analisis teknikal, aset digital, dan topik lain lain melalui laman artikel edukasi crypto terpopuler. Anda juga dapat mengikuti berita terbaru Indodax Academy melalui Google News.

Download aplikasi crypto terbaik INDODAX melalui App Store atau Google Play Store untuk mendapatkan pengalaman jual beli Bitcoin atau aset kripto lain dengan mudah dan aman.

INDODAX merupakan exchange crypto lokal di Indonesia yang mempublikasikan data Proof of Reserves (PoR) di CoinMarketCap dan rutin melaporkan pembaruan jumlah total aset secara transparan yang bisa dilihat oleh semua orang.

 

Kontak Resmi CS Indodax

  • Nomor resmi Customer Support: (021) 5065 8888
  • Nomor resmi CS Indodax Prioritas: (021) 5036 8888
  • Email bantuan: [email protected]

 

Ikuti juga sosial media INDODAX di sini: Instagram, X, Youtube & Telegram

 

Follow Sosmed Twitter Indodax sekarang

 

Author: Fau 

 

DISCLAIMER:  Segala bentuk transaksi aset kripto memiliki risiko dan berpeluang untuk mengalami kerugian. Tetap berinvestasi sesuai riset mandiri sehingga bisa meminimalisir tingkat kehilangan aset kripto yang ditransaksikan (Do Your Own Research/ DYOR). Informasi yang terkandung dalam publikasi ini diberikan secara umum tanpa kewajiban dan hanya untuk tujuan informasi saja. Publikasi ini tidak dimaksudkan untuk, dan tidak boleh dianggap sebagai, suatu penawaran, rekomendasi, ajakan atau nasihat untuk membeli atau menjual produk investasi apa pun dan tidak boleh dikirimkan, diungkapkan, disalin, atau diandalkan oleh siapa pun untuk tujuan apa pun.
  

 

Tag Terkait: #Berita Kripto Hari Ini, #Berita Mata uang Kripto, #Berita Scam Crypto

Lebih Banyak dari Berita

Pelajaran Dasar

Calculate Staking Rewards with INDODAX earn

Select an option
dot Polkadot 2.25%
bnb BNB 0.52%
sol Solana 4.62%
eth Ethereum 2.32%
ada Cardano 1.02%
pol Polygon Ecosystem Token 1.87%
trx Tron 2.75%
DOT
0
Berdasarkan harga & APY saat ini
Stake Now

Pasar

Nama Harga 24H Chg
DVI/IDR
Dvision Ne
2
100%
SKL/IDR
SKALE
107
69.84%
ALITAS/IDR
Alitas
3
50%
VBG/IDR
Vibing
4
33.33%
WEALTH/IDR
Wealth Cry
2.090K
23.52%
Nama Harga 24H Chg
XGD/IDR
XGold
549.900
-86.25%
NFP/IDR
NFPrompt
49
-46.15%
ALIF/IDR
ALIF
589
-40.32%
SRM/IDR
Serum
16
-33.33%
TRIA/IDR
Tria
175
-25.31%
Apakah artikel ini membantu?

Beri nilai untuk artikel ini

You already voted!
Artikel Terkait

Temukan lebih banyak artikel berdasarkan topik yang diminati.

Bitcoin (BTC) Masih Sulit Naik, Ini 5 Penyebab yang Membuatnya Terus Tertekan
10/07/2026
Bitcoin (BTC) Masih Sulit Naik, Ini 5 Penyebab yang Membuatnya Terus Tertekan

Harga Bitcoin (BTC) masih berada di bawah tekanan meski sempat

10/07/2026
Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key
10/07/2026
Modus Baru! Hacker Kini Serang Package Injective untuk Curi Private Key

Hacker kembali mengubah pola serangan di industri crypto. Kali ini,

10/07/2026
Trader Crypto Mulai Tinggalkan Altcoin, Tokenisasi Saham Justru Makin Diburu
10/07/2026
Trader Crypto Mulai Tinggalkan Altcoin, Tokenisasi Saham Justru Makin Diburu

Volume perdagangan saham tokenisasi (tokenized stocks) di platform crypto menembus

10/07/2026