Microsoft Menemukan Paket npm jahat yang Menargetkan Dompet Kripto

• Microsoft melabeli dua paket npm jahat yang menyalahgunakan API Hugging Face.
• Paket-paket tersebut mendeploy RAT untuk mencuri keystrokes, tangkapan layar, dan data dompet.
• Insiden ini menyoroti risiko rantai pasokan npm yang terus berlanjut yang menargetkan pengguna kripto.

Pada 3 Juni 2026, Microsoft Threat Intelligence melaporkan bahwa dua paket npm yang telah dikompromikan sedang mendeploy remote access trojan (RAT) untuk mencuri keystrokes, tangkapan layar, dan kredensial dompet kripto sambil menyalahgunakan repositori Hugging Face (repos) untuk ekstraksi data.

Microsoft Threat Intelligence telah mengidentifikasi dua paket npm jahat, [email protected] dan [email protected], yang dikompromikan atau diterbitkan dengan niat jahat. Paket-paket ini mendeploy RAT yang dapat menangkap penekanan tombol, mengambil tangkapan layar, dan mencuri kredensial dompet mata uang kripto.

Paket-paket tersebut menyalahgunakan repositori Hugging Face sebagai infrastruktur ekstraksi, mencampur lalu lintas jahat dengan beban kerja pembelajaran mesin yang sah untuk menghindari deteksi. Paket-paket tersebut dipublikasikan oleh pengguna npm hexalpha10 (penulis: toskypi).

Ketika pengembang atau pipeline build menginstal paket npm yang telah dikompromikan, paket tersebut secara diam-diam mendeploy RAT berfitur lengkap. RAT dirancang untuk berjalan di latar belakang dan secara aktif mencuri informasi sensitif. Ini dicapai dengan memantau aktivitas pengguna pada sistem yang terinfeksi, menangkap input yang sering mencakup kata sandi dompet, seed phrase, atau kunci pribadi, serta mengekstrak kredensial yang disimpan dari aplikasi dompet kripto dan ekstensi browser populer.

Untuk mempertahankan akses jangka panjang, malware membangun persistensi segera setelah instalasi menggunakan metode spesifik platform:

• Di Windows: Membuat kunci Run di HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 dan mengatur tugas terjadwal bernama MicrosoftSystem64.
• Di Linux: Ini menginstal layanan systemd bernama MicrosoftSystem64.service.

Payload dijatuhkan ke direktori khusus (MicrosoftSystem64/payload.js), memungkinkan RAT beroperasi secara independen dari paket npm asli. RAT menggunakan dua server command-and-control (C2), 195.201.194.107:8010 (WebSocket) dan c2-toskypi.onrender.com (HTTP), serta dengan cerdik mengekstraksi data curian dengan menyalahgunakan repositori Hugging Face yang sah sebagai endpoint ekstraksi data (huggingface.co/api).

Penemuan paket npm jahat menandai pengingat tajam lainnya tentang seberapa cepat serangan rantai pasokan perangkat lunak berkembang, terutama yang memanfaatkan infrastruktur AI tepercaya seperti Hugging Face untuk operasi diam-diam.

Dampak langsungnya jelas, karena pengembang dan organisasi yang bergantung pada dependensi npm sekarang menghadapi peningkatan risiko pencurian kredensial dan kompromi jangka panjang, terutama di lingkungan yang menangani mata uang kripto atau token pengembang sensitif. Alat keamanan standar yang memasukkan lalu lintas Hugging Face ke dalam whitelist sebagai “aktivitas ML yang tidak berbahaya” tidak lagi dapat dipercaya tanpa konteks tambahan.

Melihat ke depan, Microsoft Threat Intelligence mendesak para pembela untuk memperlakukan setiap lalu lintas tak terduga ke huggingface.co/api dari beban kerja non-ML sebagai indikasi kompromi. Kampanye ini menyoroti malware berbasis AI yang semakin canggih dan mendorong pergeseran menuju deteksi berbasis perilaku, pemantauan API keluar secara terus-menerus, kontrol rantai pasokan npm yang diperkuat, dan validasi zero-trust terhadap dependensi sumber terbuka.

Terkait:Kampanye Malware TrapDoor Menargetkan Ekosistem Pengembang Aptos, Solana, dan Sui