Peneliti keamanan dari Socket menemukan empat paket berbahaya di npm yang menyasar developer Ethereum dengan cara mencuri private key dan mnemonic seed phrase, lalu mengirimkannya diam-diam ke bot Telegram milik peretas.

Menurut Kush Pandya, aktor ancaman ini menyamarkan paketnya sebagai utility kriptografi dan infrastruktur Flashbots MEV, padahal sebenarnya menyisipkan fungsi tersembunyi untuk mencuri data kripto.

Paket tersebut diunggah oleh pengguna bernama “flashbotts”, dengan unggahan pertama sejak September 2023 dan terbaru pada 19 Agustus 2025. Keempatnya adalah:

Bagaimana Cara Paket Jahat Ini Bekerja?

@flashbotts/ethers-provider-bundle

flashbot-sdk-eth

sdk-ethers

gram-utilz

Mnemonic seed phrase adalah “master key” untuk mengakses dompet kripto. Sekali bocor, hacker bisa langsung mengambil alih wallet korban dan mencuri aset kripto tanpa bisa dipulihkan.

Komentar berbahasa Vietnam di source code memberi indikasi bahwa pelaku bisa jadi berbahasa Vietnam dan memiliki motif finansial kuat.

Kasus ini adalah bukti nyata bagaimana supply chain attack mengeksploitasi kepercayaan developer terhadap nama paket populer. Dengan menyisipkan kode berbahaya di dalam utilitas yang tampak sah, peretas bisa mengubah proses development sehari-hari menjadi jalan pintas langsung ke bot Telegram mereka.

“Karena Flashbots sudah dipercaya luas oleh validator, searcher, dan developer DeFi, paket palsu dengan nama mirip Flashbots punya peluang besar dipakai. Private key yang bocor di lingkungan ini bisa berarti hilangnya dana dalam hitungan detik,” jelas Pandya.

Intinya Developer Web3 kini harus lebih waspada. Jangan asal unduh dan install paket npm dengan nama yang terlihat familiar. Satu paket palsu bisa jadi gerbang menuju pencurian aset kripto bernilai jutaan dolar.