Kalau kamu adalah pengguna Exodus atau Atomic Wallet, sebaiknya segera periksa kembali sistemmu. Bukan karena ada pembaruan fitur menarik, tapi karena baru-baru ini ditemukan malware yang menyusup ke dua dompet kripto tersebut dan berpotensi mencuri private key milik penggunanya secara diam-diam.
Serangannya tidak datang dari celah teknis rumit atau peretas elit, melainkan dari sebuah paket npm yang kelihatannya tidak mencurigakan sama sekali, yakni “pdf-to-office.”
Kedengarannya seperti alat untuk konversi file dokumen biasa, bukan? Tapi nyatanya, inilah jalur masuk yang digunakan malware untuk mengincar pengguna yang secara tidak sadar memasang paket tersebut ke dalam sistem mereka.
Saat dijalankan, paket ini akan mengecek apakah kamu punya file instalasi dompet Atomic atau Exodus di komputermu. Jika iya, dia langsung beraksi.
Malware yang Modifikasi Diam-Diam File Dompet Kripto
Berdasarkan temuan Reversing Labs, serangan ini tidak langsung mengambil alih sistem, melainkan bermain halus. File utama yang digunakan oleh dompet, seperti app.asar pada Atomic Wallet dan index.js di Exodus, akan diganti dengan versi yang sudah dimodifikasi.
Tapi jangan harap kamu bisa mendeteksinya dengan mudah. Tidak ada notifikasi, tidak ada peringatan dan semua tampak berjalan seperti biasa.
Yang berubah justru terjadi di balik layar. Ketika pengguna mencoba mengirimkan kripto, alamat wallet tujuan bisa diganti secara otomatis menjadi alamat milik penyerang. Jadi, alih-alih mentransfer ke orang yang kamu maksud, dana justru lenyap ke alamat tidak dikenal. Dan ini terjadi tanpa kamu sadari sama sekali.
Yang bikin makin runyam, file berbahaya itu tetap ada meskipun kamu sudah menghapus paket “pdf-to-office” dari sistem. Dengan kata lain, satu kali infeksi bisa berdampak lama kecuali kamu benar-benar menghapus dan menginstal ulang dompet dari sumber resmi.
Dompet dan Versi yang Disasar
Serangan ini tidak menyasar secara acak. Berdasarkan analisis dari tim keamanan yang menelusuri kasus ini, malware hanya menargetkan beberapa versi tertentu, yaitu Exodus versi 25.13.3 dan 25.9.2, serta Atomic Wallet versi 2.91.5 dan 2.90.6.
Artinya, pelaku kemungkinan sudah mempelajari struktur internal kedua dompet ini dengan cukup mendalam sebelum melancarkan aksinya.
“Ini bukan serangan biasa. Pelaku tahu persis bagaimana file internal bekerja dan tahu di mana mereka harus menyisipkan kode berbahaya,” ujar Tim ReversingLabs.
Tanda Bahaya untuk Ekosistem Pengembang
Kasus ini juga menunjukkan bahwa ancaman tidak selalu datang dari luar, tapi juga bisa muncul dari dalam ekosistem pengembangan perangkat lunak itu sendiri.
Repositori npm selama ini dianggap sebagai tempat yang relatif aman untuk mencari pustaka atau alat bantu koding, namun kejadian ini membuka mata bahwa siapa pun bisa menyisipkan kode jahat dalam bentuk alat yang terlihat bermanfaat.
Kalau diibaratkan dengan kehidupan sehari-hari, ini seperti seseorang menyamar jadi tukang servis printer, tapi diam-diam mencuri data dari komputer rumahmu. Tidak mencurigakan, tapi sangat merugikan.
Bagi pengguna yang sempat menggunakan atau menginstal paket mencurigakan seperti “pdf-to-office,” sebaiknya segera lakukan pemeriksaan file dompet yang terinstal di komputer.
Jangan hanya hapus paketnya, tapi pastikan juga benar-benar menghapus seluruh direktori instalasi dan mengunduh ulang dompet dari situs resminya. Jika memungkinkan, pindahkan asetmu ke dompet baru untuk berjaga-jaga.
Di sisi lain, komunitas pengembang juga perlu lebih hati-hati dalam memilih dependensi, terutama jika berasal dari sumber yang belum banyak dikenal. Satu kesalahan kecil bisa membuka pintu bagi pencurian digital berskala besar. [st]