Pada 8 September 2025, sejumlah packages NPM populer (dapat dilihat pada bagian IoC) dengan total unduhan lebih dari 2,6 miliar per minggu disusupi malware melalui serangan supply chain[1]. Penyerang berhasil mengambil alih akun maintainer sah dan merilis versi baru yang berisi kode berbahaya. Paket-paket ini sering digunakan di ekosistem JavaScript sehingga berpotensi memengaruhi banyak aplikasi.

Aikido Security Researcher, Charlie Eriksen menyatakan bahwa malware yang tertanam dalam paket NPM tersebut menargetkan pengguna aplikasi web3 dan kripto dengan memanipulasi transaksi sehingga dana digital dapat dialihkan ke dompet milik penyerang tanpa terdeteksi[2].

1. Penyerang mengirim email phishing kepada akun maintainer paket NPM untuk memperbarui kredensial 2FA[1].
2. Korban diarahkan ke situs palsu ‘npmjs.help’, dan kredensial yang dimasukkan direkam oleh penyerang[1].
3. Penyerang menggunakan kredensial curian untuk masuk ke akun maintainer[1].
4. Penyerang menambahkan malware ke dalam source code dan merilis versi terbaru paket NPM yang sudah terinfeksi[1].
5. Saat pengguna memperbarui dependensi, kode berbahaya dijalankan, dengan perilaku[2]:
   

   Mengambil alih fungsi ‘fetch’, ‘XMLHttpRequest’, dan ‘window.Ethereum’ untuk memantau web traffic dan aktivitas dompet digital. Memindai data sensitif seperti alamat dompet atau detail transaksi. Mengganti alamat tujuan transaksi dengan alamat penyerang. Memodifikasi parameter transaksi pada berbagai blockchain populer (Ethereum, Solana, Bitcoin, Tron, dll.). Berjalan di background tanpa terlihat oleh pengguna (stealth).

1. Phising Domain[2]: npmjs.help
2. URL Eksfiltrasi Kredensial[1]: https://websocket-api2[.]publicvm.com/images/jpg-to-png.php?name=[name]&pass=[password]
3. IP Address Penyerang[2]: 185.7.81.108
4. Compromised Package Version[2]:
   

   -backslash:0.2.1	-slice-ansi:7.1.1
   -chalk-template:1.1.1	-color-convert:3.1.1
   -supports-hyperlinks:4.1.1	-wrap-ansi:9.0.1
   -has-ansi:6.0.1	-ansi-regex:6.2.1
   -simple-swizzle:0.2.3	-supports-color:10.2.1
   -color-string:2.1.1	-strip-ansi:7.1.1
   -error-ex:1.3.3	-chalk:5.6.1
   -color-name:2.0.1	-debug:4.4.2
   -is-arrayish:0.3.3	-ansi-styles:6.2.2

   
   

1. Periksa ’package-lock.json’ atau ’yarn.lock’ untuk memastikan tidak ada versi terdampak yang digunakan.
2. Segera gunakan versi terbaru yang telah diperbaiki/aman. Hindari versi yang dirilis pada 8 September 2025.
3. Aktifkan 2FA pada akun npm/GitHub, selalu verifikasi domain pengirim email, dan waspadai pesan dengan ancaman atau urgensi palsu.
4. Gunakan secure wrapper untuk npm, npx, dan yarn yang terintegrasi dalam workflow pengembangan, berfungsi memeriksa setiap paket dari malware sebelum proses instalasi[3] [4].