Sebuah pelanggaran keamanan besar telah mengguncang komunitas pengembang JavaScript ketika sistem build populer NX menjadi korban serangan supply chain yang canggih yang memanfaatkan kecerdasan buatan untuk mencuri data sensitif developer. Setidaknya 1.400 developer menemukan repositori berbahaya yang dibuat di akun GitHub mereka, berisi wallet yang dicuri, kunci API, dan kredensial lainnya.
Serangan ini menargetkan NX, sebuah tool build monorepo yang banyak digunakan yang melayani 2,5 juta developer setiap hari dan digunakan oleh lebih dari 70% perusahaan Fortune 500. Versi berbahaya dipublikasikan ke npm antara 26-27 Agustus 2025, mempengaruhi versi 21.5.0-21.8.0 dan 20.6.0-20.12.0.
Versi NX yang Terdampak:
- v21.5.0 - v21.8.0
- v20.6.0 - v20.12.0
Kronologi Serangan:
- 2025-08-26 ~06:00 PM PDT: Versi berbahaya dipublikasikan
- 2025-08-26 ~08:30 PM PDT: Laporan pertama pengguna mengenai aktivitas mencurigakan
- 2025-08-26 ~10:45 PM PDT: npm menghapus versi yang telah disusupi
- 2025-08-27 ~01:00 AM PDT: Cakupan tambahan teridentifikasi
Pencurian Data Bertenaga AI Menandai Vektor Serangan Baru
Yang membuat pelanggaran ini sangat mengkhawatirkan adalah penggunaan inovatif penyerang terhadap tool command-line AI seperti Claude Code dan Gemini CLI untuk mengotomatisasi penemuan file sensitif. Alih-alih mengkodekan pola pencarian yang mungkin dapat dideteksi oleh tool keamanan, malware tersebut hanya menginstruksikan asisten AI ini untuk menemukan wallet cryptocurrency, kunci privat, dan data berharga lainnya di sistem yang terinfeksi.
Kode berbahaya dieksekusi melalui script post-install NX, memindai tool AI dan kemudian meminta mereka untuk mencari file yang cocok dengan pola terkait wallet di seluruh sistem pengguna. Pendekatan ini memungkinkan penyerang untuk mengalihkan sebagian besar pekerjaan fingerprinting mereka ke prompt AI, membuat deteksi menjadi jauh lebih sulit bagi tool keamanan tradisional.
Respons Komunitas Menyoroti Kekhawatiran Keamanan yang Lebih Luas
Reaksi komunitas developer telah cepat namun terbagi mengenai tanggung jawab dan pencegahan. Banyak yang mempertanyakan mengapa asisten coding AI memiliki akses filesystem yang begitu luas secara default, sementara yang lain menunjuk pada kelemahan mendasar dalam keamanan package manager.
Paradigma keamanan multi-user Unix saja tidak cukup lagi di dunia single-user saat ini yang menjalankan aplikasi tidak terpercaya.
Beberapa developer sekarang mengadvokasi sandboxing yang lebih ketat untuk tool pengembangan dan asisten AI. Beberapa sudah pindah untuk menjalankan semua pekerjaan pengembangan di virtual machine atau container untuk membatasi potensi kerusakan dari serangan serupa.
Insiden ini juga memicu perdebatan tentang model keamanan npm, dengan banyak yang menyerukan code signing wajib dan verifikasi yang lebih baik terhadap penerbit package. Saat ini, mengkompromikan satu token API dapat memungkinkan penyerang untuk mempublikasikan update berbahaya ke package yang banyak digunakan.
Statistik Dampak:
- Setidaknya 1.400 pengguna terkonfirmasi terdampak
- 2,5 juta pengembang menggunakan NX setiap hari
- Lebih dari 70% perusahaan Fortune 500 menggunakan NX
- Ribuan token GitHub yang valid teramati bocor
- Puluhan kredensial cloud dan token NPM yang valid dikompromikan
- Sekitar 20.000 file total bocor
Tindakan Segera untuk Developer yang Terdampak
Developer yang menggunakan versi NX yang dikompromikan harus segera memeriksa akun GitHub mereka untuk repositori bernama singularity-repository atau varian serupa. Ini berisi dump data yang dicuri yang dikodekan base64 yang secara otomatis dibuat oleh malware.
Serangan ini juga memodifikasi file konfigurasi shell untuk menambahkan perintah shutdown, secara efektif menciptakan kondisi denial-of-service untuk sesi terminal baru. Pengguna yang terdampak perlu membersihkan file .bashrc dan .zshrc mereka sambil merotasi semua kredensial yang berpotensi dikompromikan termasuk token GitHub, kunci npm, kunci SSH, dan akses wallet cryptocurrency.
Package manager seperti pnpm dan bun menawarkan perlindungan secara default, karena mereka tidak mengeksekusi script install secara otomatis. Ini telah memperbarui seruan agar npm mengadopsi pendekatan security-first yang serupa.
Rekomendasi Keamanan:
- Nonaktifkan skrip npm install secara global:
npm config set ignore-scripts true - Gunakan package manager seperti pnpm atau bun yang tidak mengeksekusi skrip secara default
- Jalankan development tools dalam container atau VM yang terisolasi
- Periksa repositori berbahaya:
singularity-repository*di akun GitHub - Rotasi semua kredensial yang berpotensi terkompromi ( GitHub , npm, SSH keys, crypto wallets)
Melihat ke Depan: Realitas Baru Serangan yang Ditingkatkan AI
Pelanggaran ini merupakan momen penting bagi keamanan supply chain perangkat lunak. Ketika tool AI menjadi lebih umum dalam workflow pengembangan, mereka menciptakan permukaan serangan baru yang tidak dirancang untuk ditangani oleh langkah-langkah keamanan tradisional.
Insiden ini menunjukkan bagaimana penyerang beradaptasi untuk memanfaatkan tool AI yang sama yang diandalkan developer setiap hari. Dengan kemampuan untuk beradaptasi secara dinamis terhadap konfigurasi sistem yang berbeda melalui prompt bahasa alami, serangan masa depan mungkin menjadi lebih canggih dan lebih sulit diprediksi.
Untuk komunitas pengembangan yang lebih luas, ini berfungsi sebagai peringatan tentang implikasi keamanan dari tool pengembangan yang dibantu AI dan kebutuhan mendesak untuk sandboxing yang lebih baik dan model izin dalam lingkungan pengembangan modern.
Referensi: Security Alert | NX Compromised to Steal Wallets and Credentials