Paket Perangkat Lunak Injective Dihantam Serangan Rantai Pasokan Berbahaya – Detail

ambcryptoDipublikasikan tanggal 2026-07-10Terakhir diperbarui pada 2026-07-10

Abstrak

Paket perangkat lunak Injective Labs, @injectivelabs/sdk-ts, menjadi sasaran serangan rantai pasokan yang berbahaya. Penyerang mengunggah versi jahat (v1.20.21) ke npm setelah mendapatkan akses ke akun GitHub kontributor resmi. Paket ini, digunakan untuk membangun aplikasi Injective dan mengelola dompet, menyebar melalui 17 paket dependensi lainnya. Kode berbahaya dirancang cerdik: hanya aktif saat pengembang menggunakan fungsi pembuatan dompet `fromMnemonic` atau `fromHex`, untuk mencuri kunci pribadi dan frasa seed. Paket ini memiliki sekitar 50.000 unduhan mingguan. Meskipun versi bersih (v1.20.23) telah dirilis, versi yang dikompromi masih tersedia di npm dan GitHub. Pengguna yang terdampak sangat disarankan untuk memutar semua kredensial, membuat dompet baru, dan memindahkan aset mereka. Insiden ini menyoroti meningkatnya ancaman terhadap alat pengembang tepercaya dalam ekosistem kripto.

Serangan rantai pasokan perangkat lunak semakin umum terjadi, dengan penyerang semakin menargetkan alat pengembang tepercaya alih-alih pengguna akhir.

Dalam insiden terbaru ini, penyerang membahayakan paket perangkat lunak Injective Labs yang tepercaya untuk mencuri kredensial dompet pengembang.

Sumber: Socket

Bagaimana serangan Injective SDK terjadi?

Penyerang mengunggah versi berbahaya dari TypeScript SDK, @injectivelabs/sdk-ts v1.20.21, ke npm. Paket ini dirancang untuk membangun aplikasi Injective, membuat dompet, dan menandatangani transaksi.

Penyerang kemudian mendapatkan akses ke akun GitHub kontributor Injective Labs yang sah dan mendistribusikan komit berbahaya. Satu cabang pengujian diberi nama "test-backdoor-check."

Berpura-pura sebagai telemetri, penyerang memublikasikan paket yang dikompromikan ke npm.

Alih-alih mengumpulkan data penggunaan, malware itu mengekstrak kunci pribadi dan frasa benih mnemonik. Hal itu memberi penyerang semua yang dibutuhkan untuk membuat ulang dan menyita dompet kripto korban.

Selain itu, kompromi itu menyebar melalui dependensi transitif di 17 paket Injective tambahan yang bergantung pada SDK tersebut.

Celah yang menyebabkan pelanggaran

Kode berbahaya tetap tidak aktif selama instalasi, membantunya menghindari deteksi.

Sebaliknya, kode itu hanya dieksekusi ketika pengembang menggunakan fungsi pembuatan dompet fromMnemonic atau fromHex.

Sekitar 50.000 unduhan paket yang dikompromikan terjadi setiap minggu. Setidaknya 87 paket lain juga bergantung padanya secara langsung.

Penyerang juga merilis 17 paket Injective tambahan yang dipasang ke versi SDK yang dikompromikan, memperluas jangkauan serangan.

Sumber: Socket

Apa lagi?

Segera setelah itu, versi bersih, v1.20.23, dibuat tersedia. Namun, versi yang dikompromikan masih tersedia di npm sebagai paket yang tidak digunakan lagi, dan artefak rilisnya masih tersedia di GitHub.

Oleh karena itu, untuk menghindari insiden serupa lebih lanjut, pengguna harus memutar semua kredensial yang terdampak, membuat dompet baru, dan memindahkan uang mereka.

Ini bertepatan dengan BonkDAO yang kehilangan $20 juta karena "proposal tata kelola berbahaya" menjadikan mereka korban peretasan kripto terbaru.


Ringkasan Akhir

  • Pelaku mendapatkan akses ke akun GitHub kontributor Injective Labs yang sah dan menggunakannya untuk mendistribusikan komit berbahaya.
  • Pengembang menjadi rentan oleh serangan karena dependensi transitif dalam 17 paket injektif tambahan.

Pertanyaan Terkait

QApa yang menjadi target utama serangan rantai pasokan perangkat lunak yang dijelaskan dalam artikel?

ATarget utama serangan ini adalah paket perangkat lunak SDK TypeScript Injective Labs yang dipercaya, yaitu @injectivelabs/sdk-ts v1.20.21, yang diunggah ke npm.

QBagaimana penyerang menyebarkan paket perangkat lunak berbahaya tersebut?

APenyerang mendapatkan akses ke akun GitHub kontributor Injective Labs yang sah, lalu menggunakan akun tersebut untuk mendistribusikan commit berbahaya dan mengunggah paket yang dikompromi ke npm dengan kedok telemetri.

QKapan kode berbahaya dalam paket yang dikompromi itu diaktifkan, dan apa tujuannya?

AKode berbahaya tetap tidak aktif selama instalasi untuk menghindari deteksi. Kode tersebut dijalankan hanya ketika pengembang menggunakan fungsi pembuatan dompet `fromMnemonic` atau `fromHex` untuk mengekstrak kunci pribadi dan frase seed mnemonic.

QBerapa banyak unduhan paket yang dikompromi yang terjadi setiap minggunya, dan seberapa luas dampak serangan ini?

APaket yang dikompromi diunduh sekitar 50.000 kali per minggu. Dampak serangan diperluas melalui dependensi transitif di 17 paket Injective tambahan yang bergantung pada SDK, dan setidaknya 87 paket lain juga bergantung padanya secara langsung.

QApa yang seharusnya dilakukan pengguna untuk melindungi diri setelah insiden ini?

APengguna harus memutar semua kredensial yang terdampak, membuat dompet baru, dan memindahkan dana mereka ke dompet yang baru. Mereka juga harus waspada karena versi paket yang dikompromi masih tersedia sebagai paket usang di npm dan artefak rilisnya masih ada di GitHub.

Bacaan Terkait

Setelah Aave Pergi dan TVL Berguncang Hebat, Di Mana Anchor Valuasi MegaETH Berada?

Berdasarkan data DefiLlama, TVL MegaETH mengalami fluktuasi tajam pada 9-10 Juli, turun sekitar 60% dalam 24 jam menjadi sedikit di atas $30 juta, turun sekitar 70% dari puncaknya pada Mei. Protokol teratas Aave V3 menarik sekitar 80% likuiditas. Harga MEGA turun ke sekitar $0.048, dengan kapitalisasi pasar sekitar $54 juta dan FDV sekitar $480 juta. Artikel ini menganalisis tiga ketidaksesuaian dalam valuasi MegaETH: 1. **Ketidaksesuaian valuasi dengan penggunaan nyata**: FDV $4.7 miliar tidak didukung oleh aktivitas ekonomi riil. Pendapatan protokol 30 hari kurang dari $900k dengan hanya 2.619 alamat aktif harian. Sekitar 88.7% token belum beredar, berpotensi menciptakan tekanan jual di masa depan. 2. **Ketidaksesuaian narasi token dengan kualitas ekosistem**: Meski dinarasikan sebagai blockchain DeFi berkinerja tinggi, sebagian besar pendapatannya justru berasal dari game kartu Monster (sekitar 80%). Aave hanya menyumbang sekitar $90k. Volume perdagangan DEX dan kontrak berlanjut rendah, dan stablecoin native USDM terus menyusut. 3. **Ketidaksesuaian ekspektasi jangka pendek dengan realisasi jangka panjang**: TVL awal didorong oleh insentif dan strategi arbitrase siklus (seperti yang melibatkan USDe), bukan kebutuhan riil yang stabil. Integrasi protokol besar seperti Uniswap dan Aave tidak mempertahankan TVL. Penurunan serupa terlihat pada Monad (MON), menunjukkan pasar mulai meminta dukungan nilai yang lebih jelas daripada sekadar TVL dan narasi. Kesimpulannya, setelah insentif dan modal arbitrase keluar, MegaETH kekurangan pijakan nilai yang solid antara valuasi saat ini dan fundamental on-chain-nya. Pemulihan berkelanjutan bergantung pada kemampuan tim untuk mengubah likuiditas jangka pendek menjadi penggunaan nyata dan mewujudkan hasil ekosistem yang konkret. Tanpa itu, selain pemulihan jangka pendek dari sentimen pasar, sulit menemukan alasan kuat untuk valuasi yang stabil.

链捕手1j yang lalu

Setelah Aave Pergi dan TVL Berguncang Hebat, Di Mana Anchor Valuasi MegaETH Berada?

链捕手1j yang lalu

Laporan Mendalam Goldman Sachs: Siapa yang Akan Menjadi Pemenang Jangka Panjang di Industri Model AI Besar China?

Laporan mendalam Goldman Sachs menganalisis masa depan industri AI model besar China, menilai siapa yang akan menjadi pemenang jangka panjang. China saat ini berada pada titik balik historis, dengan model sumber terbuka/berbobot terbuka yang mendekati kinerja model berpemilik global terdepan. Efek roda data dari adopsi massal perusahaan domestik dan global mendorong iterasi model lebih lanjut. Model China mencapai efisiensi biaya tinggi melalui inovasi arsitektur (seperti MoE) dan efisiensi parameter, dengan model seperti DeepSeek V4 Pro (1,6T parameter) dan GLM5.2 (0,7T). Pasar membentuk struktur dua lapis: model high-end (contoh: GLM5.2) berharga ~$1/juta token, sementara model low-end untuk agen pintar berharga serendah $0,06/juta token. Goldman memproyeksikan pendapatan API/berlangganan model AI China tumbuh dari RMB35 miliar (2026) menjadi RMB879 miliar (2030). Strategi sumber terbuka mendorong adopsi global, tetapi monetisasi terbatas. Pergeseran menuju model "berat terbuka + lisensi komunitas" diharapkan dapat meningkatkan ekonomi unit melalui pembagian pendapatan dengan platform seperti AWS Bedrock. Untuk menentukan pemenang, Goldman menggunakan kerangka kerja tiga dimensi: kemampuan penetapan harga, keunggulan biaya, dan kekuatan keuangan. Dalam model teks dasar, Zhipu (GLM) dan DeepSeek dipandang paling kuat. Dalam multimodal/generasi video, ByteDance (Seedance) menjadi pemimpin, dengan Kuaishou (Kling) dan MiniMax juga diunggulkan. MiniMax mendapat peringkat Beli karena valuasi menarik dan posisi model M3-nya. Ekspansi ke pasar internasional non-AS merupakan peluang pertumbuhan kunci.

marsbit1j yang lalu

Laporan Mendalam Goldman Sachs: Siapa yang Akan Menjadi Pemenang Jangka Panjang di Industri Model AI Besar China?

marsbit1j yang lalu

Laporan Mendalam Goldman Sachs: Siapa yang Akan Menjadi Pemenang Jangka Panjang dalam Industri Model AI Besar China?

Laporan mendalam Goldman Sachs membahas pergeseran historis dalam industri model AI besar (LLM) China. Analisis menilai bagaimana model China, melalui inovasi arsitektur (seperti MoE) dan efisiensi parameter, mencapai kinerja cerdas yang mendekati model global teratas dengan biaya lebih rendah, didorong oleh momen efisiensi biaya DeepSeek (2025) dan momen kecerdasan model GLM Zhipu (2026). Pasar membentuk struktur dua lapis: model high-end (contoh: GLM5.2, Qwen3.7 Max) dengan harga ~$1/juta token, dan model low-end untuk agen AI dengan harga serendah $0.06/juta token, yang memperluas adopsi di kalangan UKM global. Goldman memproyeksikan pendapatan API/subskripsi model AI China tumbuh dari ~¥35 miliar (2026) menjadi ~¥879 miliar pada 2030. Strategi open-source/terbobot terbuka mendominasi untuk fleksibilitas dan ekosistem, tetapi monetisasinya terbatas. Tren pergeseran ke model "bobot terbuka + lisensi komunitas" (seperti MiniMax) dengan bagi hasil diharapkan meningkatkan ekonomi unit. Ekspansi ke pasar internasional (non-AS) adalah peluang kunci, seiring pergeseran paradigma perusahaan global dari "token maksimisasi" ke prioritas ROI. Menggunakan kerangka penilaian tiga dimensi (kemampuan penetapan harga, keunggulan biaya, kekuatan finansial), Goldman mengidentifikasi pemenang jangka panjang: Zhipu AI (cakupan awal: netral) dan DeepSeek (swasta) paling kuat di domain model teks dasar. Di bidang multimodal/generasi video, ByteDance (Seedance) memimpin, diikuti Kuaishou (Kling) dan MiniMax. Goldman mempertahankan rating "beli" untuk MiniMax, melihat diskon valuasi.

链捕手1j yang lalu

Laporan Mendalam Goldman Sachs: Siapa yang Akan Menjadi Pemenang Jangka Panjang dalam Industri Model AI Besar China?

链捕手1j yang lalu

Circle mendapatkan persetujuan akhir dari OCC untuk bank trust nasional guna memperkuat infrastruktur USDC

Circle telah menerima persetujuan akhir dari Kantor Pengawas Mata Uang AS (OCC) untuk mendirikan bank trust nasional dengan nama Circle National Trust. Persetujuan ini menandai pencapaian regulasi besar yang menempatkan infrastruktur kunci untuk stablecoin USDC di bawah pengawasan perbankan federal langsung. Bank trust nasional ini, yang akan beroperasi dengan nama First National Digital Currency Bank, N.A., awalnya akan menyediakan layanan penitipan aset digital fidusia untuk Circle dan afiliasinya. Ini membuka jalan untuk menawarkan layanan serupa kepada klien institusional terbatas, seperti bank dan lembaga keuangan teratur. Persetujuan ini juga dirancang untuk mendukung manajemen cadangan USDC di masa depan di bawah pengawasan OCC, sehingga memperkuat infrastruktur USDC melalui penitipan aset yang diatur secara federal. CEO Jeremy Allaire menyebut langkah ini sebagai langkah penting dalam membawa infrastruktur blockchain ke dalam sistem keuangan AS, memberikan transparansi dan kepercayaan yang lebih besar bagi institusi. Circle termasuk di antara beberapa perusahaan aset digital, termasuk Ripple dan Fidelity Digital Assets, yang mendapat persetujuan bersyarat dari OCC pada akhir 2025, dan kini telah maju ke tahap operasional final. Ini mencerminkan tren regulator di AS yang semakin mengintegrasikan penyedia infrastruktur crypto ke dalam kerangka perbankan yang ada.

ambcrypto1j yang lalu

Circle mendapatkan persetujuan akhir dari OCC untuk bank trust nasional guna memperkuat infrastruktur USDC

ambcrypto1j yang lalu

Trading

Spot
活动图片