Library PyPi Palsu Targetkan Pengguna Solana

Para peneliti keamanan siber baru-baru ini mengungkapkan adanya paket berbahaya yang ditemukan di repositori Python Package Index (PyPI). Paket ini menyamar sebagai library yang berasal dari platform blockchain Solana, tetapi sebenarnya dirancang khusus untuk mencuri informasi sensitif dari para penggunanya. Temuan ini menunjukkan bagaimana para pelaku kejahatan siber terus memanfaatkan celah dalam ekosistem perangkat lunak untuk menargetkan pengguna yang tidak waspada.

Paket jahat yang ditemukan ini dipublikasikan dengan nama "solana-py" di PyPI. Pada dasarnya, proyek API Python Solana yang sah dikenal dengan nama "solana-py" di GitHub, namun di registri perangkat lunak Python, PyPI, proyek tersebut hanya menggunakan nama "solana." Menurut laporan yang dirilis oleh peneliti dari Sonatype, Ax Sharma, celah kecil dalam penamaan inilah yang dieksploitasi oleh para pelaku kejahatan siber. Mereka dengan sengaja menerbitkan paket dengan nama "solana-py" di PyPI untuk menipu pengguna agar mengunduhnya.

Sejak pertama kali dipublikasikan pada 4 Agustus 2024, paket palsu ini telah diunduh sebanyak 1.122 kali. Namun, kini paket tersebut sudah dihapus dan tidak lagi tersedia untuk diunduh di PyPI. Fakta bahwa paket ini berhasil diunduh lebih dari seribu kali sebelum akhirnya diidentifikasi dan dihapus menegaskan betapa seriusnya ancaman yang ditimbulkan.

Salah satu hal yang paling mencolok dari paket ini adalah nomor versi yang digunakan. Paket jahat ini membawa nomor versi 0.34.3, 0.34.4, dan 0.34.5, yang seolah-olah merupakan pembaruan terbaru dari paket "solana" yang sah, yang versi terbarunya adalah 0.34.3. Ini jelas merupakan upaya yang disengaja untuk menipu pengguna yang mencari paket "solana" dan membuat mereka secara tidak sadar mengunduh versi palsu tersebut.

Yang membuat situasi ini semakin mengkhawatirkan adalah fakta bahwa paket "solana-py" palsu ini meminjam kode asli dari proyek yang sah, tetapi dengan tambahan kode berbahaya di dalam skrip "init.py." Kode tambahan ini dirancang untuk mengumpulkan kunci dompet blockchain Solana dari sistem pengguna yang terinfeksi.

Setelah kunci dompet berhasil dicuri, informasi tersebut kemudian dikirim ke domain Hugging Face Spaces yang dikelola oleh pelaku serangan, yang menggunakan alamat "treeprime-gen.hf[.]space". Ini sekali lagi menunjukkan bagaimana layanan yang sah dapat disalahgunakan oleh para pelaku kejahatan untuk tujuan yang merugikan.

Serangan ini juga menimbulkan risiko bagi rantai pasokan perangkat lunak, karena penyelidikan lebih lanjut oleh Sonatype mengungkapkan bahwa beberapa perpustakaan sah, seperti "solders", merujuk ke "solana-py" dalam dokumentasi mereka di PyPI. Ini menciptakan skenario di mana pengembang perangkat lunak dapat secara tidak sengaja mengunduh dan menggunakan paket berbahaya tersebut dalam proyek mereka, tanpa menyadari bahwa mereka sedang memperluas jangkauan serangan.

Ax Sharma menjelaskan bahwa jika seorang pengembang menggunakan paket "solders" yang sah dalam aplikasi mereka, tetapi tertipu oleh dokumentasi yang salah dan mengunduh proyek "solana-py" yang keliru, mereka tidak hanya akan membahayakan aplikasi mereka sendiri, tetapi juga keamanan pengguna akhir yang menggunakan aplikasi tersebut. Dengan kata lain, pencuri crypto bisa saja menyusup ke dalam aplikasi dan mencuri rahasia pengguna.

Penemuan ini muncul bersamaan dengan laporan dari Phylum, sebuah perusahaan keamanan rantai pasokan, yang mengidentifikasi adanya ratusan ribu paket spam di registri npm. Paket-paket ini mengandung indikator penyalahgunaan protokol Tea, sebuah kampanye jahat yang pertama kali terungkap pada April 2024.

Proyek protokol Tea kini sedang berupaya mengatasi masalah ini, dengan tujuan untuk melindungi para partisipan yang sah dari upaya penipuan yang dapat mengurangi pendapatan mereka. Sementara itu, registri npm telah mulai mengambil tindakan dengan menghapus paket-paket spam tersebut, meskipun laju penghapusan masih tertinggal dari laju publikasi baru.

Dengan adanya ancaman seperti ini, sangat penting bagi para pengembang dan pengguna untuk selalu waspada dan teliti dalam memeriksa paket yang mereka unduh, terutama dari repositori yang terbuka seperti PyPI dan npm. Penelitian dan pemantauan yang lebih ketat terhadap aktivitas mencurigakan di platform-platform ini akan sangat membantu dalam mencegah serangan yang lebih luas di masa mendatang.