Microsoft Menandai Dua Paket NPM Berbahaya yang Menargetkan Dompet Kripto

• Microsoft menandai dua paket npm berbahaya yang menyalahgunakan API Hugging Face.
• Paket tersebut menyebarkan RAT untuk mencuri penekanan tombol, tangkapan layar, dan data dompet.
• Insiden tersebut menyoroti risiko rantai pasokan npm yang sedang berlangsung yang menargetkan pengguna kripto.

Pada 3 Juni 2026, Microsoft Threat Intelligence melaporkan bahwa dua paket npm yang disusupi menyebarkan trojan akses jarak jauh (RAT) untuk mencuri penekanan tombol, tangkapan layar, dan kredensial dompet kripto sambil menyalahgunakan repositori (repositori) Hugging Face untuk eksfiltrasi data.

Microsoft Menandai Dua Paket npm Berbahaya

Microsoft Threat Intelligence telah mengidentifikasi dua paket npm berbahaya, [email protected] dan [email protected], yang disusupi atau diterbitkan dengan niat jahat. Paket-paket ini menyebarkan RAT yang dapat menangkap penekanan tombol, mengambil tangkapan layar, dan mencuri kredensial dompet mata uang kripto.

Paket menyalahgunakan repositori Hugging Face sebagai infrastruktur eksfiltrasi, memadukan lalu lintas berbahaya dengan beban kerja pembelajaran mesin yang sah untuk menghindari deteksi. Paket-paket tersebut diterbitkan oleh pengguna npm hexalpha10 (penulis: toskypi).

Bagaimana RAT Mencuri Kredensial Dompet

Saat pengembang atau alur build menginstal paket npm yang disusupi, paket secara diam-diam menyebarkan RAT berfitur lengkap. RAT dirancang untuk berjalan di latar belakang dan secara aktif mencuri informasi sensitif. Ini dicapai dengan memantau aktivitas pengguna pada sistem yang terinfeksi, menangkap input yang sering kali menyertakan kata sandi dompet, frasa benih, atau kunci pribadi, dan mengekstrak kredensial yang disimpan dari aplikasi dompet kripto populer dan ekstensi browser.

Untuk mempertahankan akses jangka panjang, malware membangun persistensi segera setelah penginstalan menggunakan metode khusus platform:

• Di Windows: Ini membuat kunci Run di HKCU\Software\Microsoft\Windows\CurrentVersion\Run\MicrosoftSystem64 dan menyiapkan tugas terjadwal bernama MicrosoftSystem64.
• Di Linux: Ini menginstal layanan systemd yang disebut MicrosoftSystem64.service.

Muatan dijatuhkan ke direktori khusus (MicrosoftSystem64/payload.js), memungkinkan RAT beroperasi secara independen dari paket npm asli. RAT menggunakan dua server command-and-control (C2), 195.201.194.107:8010 (WebSocket) dan c2-toskypi.onrender.com (HTTP), dan dengan cerdik mengeksfiltrasi data yang dicuri dengan menyalahgunakan repositori Hugging Face yang sah sebagai titik akhir eksfiltrasi data (huggingface.co/api).

Ancaman rantai pasokan bertenaga AI yang berkembang

Penemuan paket npm berbahaya menandai pengingat nyata lainnya tentang seberapa cepat serangan rantai pasokan perangkat lunak berkembang, terutama yang mempersenjatai infrastruktur AI tepercaya seperti Hugging Face untuk operasi sembunyi-sembunyi.

Dampak langsungnya jelas karena pengembang dan organisasi yang mengandalkan dependensi npm sekarang menghadapi peningkatan risiko pencurian kredensial dan kompromi jangka panjang, terutama di lingkungan yang menangani cryptocurrency atau token pengembang yang sensitif. Alat keamanan standar yang memasukkan lalu lintas Hugging Face ke daftar putih sebagai “aktivitas ML jinak” tidak dapat lagi dipercaya tanpa konteks tambahan.

Ke depan, Microsoft Threat Intelligence mendesak pembela untuk memperlakukan lalu lintas tak terduga yang huggingface.co/api dari beban kerja non-ML yang dapat mengindikasikan kompromi. Kampanye ini menyoroti malware berkemampuan AI yang semakin canggih dan mendorong pergeseran menuju deteksi berbasis perilaku, pemantauan API keluar berkelanjutan, kontrol rantai pasokan npm yang diperkuat, dan validasi zero-trust dari dependensi sumber terbuka.

Terkait: Kampanye Malware TrapDoor Menargetkan Ekosistem Pengembang Aptos, Solana, dan Sui