Peneliti Keamanan Temukan Paket npm Berbahaya yang Menyasar Developer dan Pengguna Crypto

Peneliti keamanan siber menemukan paket npm berbahaya bernama Openclaw yang digunakan dalam serangan supply-chain. Paket ini menargetkan para developer yang bekerja dengan Openclaw atau tools AI-agent serupa. Jika terinstal, paket tersebut dapat memasang malware remote access trojan (RAT) bernama Ghostloader di komputer korban.

Serangan ini ditemukan oleh tim JFrog Security Research dan diumumkan pada 8–9 Maret 2026. Menurut laporan mereka, paket tersebut muncul di registry npm pada awal Maret dan telah diunduh sekitar 178 kali hingga 9 Maret. Meski sudah dilaporkan, paket tersebut saat itu masih tersedia di npm.

Sekilas, paket ini terlihat normal. Namanya mirip dengan tool resmi Openclaw dan berisi file Javascript serta dokumentasi yang tampak aman. Namun, perilaku berbahaya sebenarnya dijalankan saat proses instalasi.

Ketika seseorang menginstal paket ini, skrip tersembunyi akan aktif secara otomatis. Skrip tersebut menampilkan tampilan instalasi palsu yang terlihat seperti proses instalasi software biasa, lengkap dengan indikator progres dan pesan sistem.

Di tengah proses instalasi, program menampilkan permintaan password komputer melalui jendela otorisasi palsu. Pesan tersebut mengklaim bahwa password diperlukan untuk mengonfigurasi kredensial Openclaw dengan aman. Jika pengguna memasukkan password, malware akan mendapatkan akses lebih tinggi ke sistem.

Secara diam-diam, installer kemudian mengunduh payload terenkripsi dari server yang dikendalikan oleh penyerang. Setelah didekripsi dan dijalankan, payload tersebut akan memasang trojan Ghostloader.

Ghostloader kemudian akan bersembunyi di sistem dan menyamar sebagai layanan software biasa. Malware ini juga akan secara berkala terhubung ke server command-and-control (C2) milik penyerang untuk menerima instruksi.

Malware ini dirancang untuk mencuri berbagai informasi sensitif, seperti:

• database password
• cookie browser
• kredensial yang tersimpan
• data autentikasi sistem

Data tersebut bisa memberikan akses ke platform cloud, akun developer, hingga layanan email.

Bagi pengguna cryptocurrency, risikonya bisa lebih besar. Malware ini secara khusus mencari file yang terkait dengan crypto wallet desktop maupun ekstensi wallet di browser. Program juga memindai folder lokal untuk menemukan seed phrase atau data pemulihan wallet crypto.

Selain itu, malware dapat:

• memantau aktivitas clipboard
• mencuri SSH key
• mengambil kredensial developer yang digunakan untuk mengakses server atau infrastruktur jarak jauh

Hal ini membuat komputer developer menjadi target yang sangat menarik, karena sering menyimpan akses ke server produksi, layanan cloud, dan sistem penting lainnya.

Ghostloader juga memiliki kemampuan akses jarak jauh, yang memungkinkan penyerang menjalankan perintah, mengambil file, atau mengalihkan lalu lintas jaringan melalui komputer yang telah terinfeksi.

Agar tetap aktif, malware ini memasang mekanisme persistence, sehingga akan otomatis berjalan kembali setiap kali komputer dihidupkan ulang.

Peneliti JFrog juga menemukan beberapa indikator serangan, termasuk file sistem mencurigakan yang terkait dengan layanan “npm telemetry” serta koneksi ke infrastruktur yang dikendalikan oleh penyerang.

Para analis keamanan mengatakan bahwa kasus ini menunjukkan meningkatnya serangan supply-chain di ekosistem developer, terutama karena semakin banyaknya penggunaan framework AI dan tools otomatisasi.

Developer yang telah menginstal paket tersebut disarankan untuk:

• segera menghapus paket dari sistem
• memeriksa konfigurasi startup komputer
• menghapus direktori telemetry mencurigakan
• mengganti seluruh password dan kredensial yang tersimpan di perangkat

Para ahli juga menyarankan agar developer hanya menginstal tool dari sumber resmi, memeriksa paket npm secara teliti sebelum instalasi global, serta menggunakan tools keamanan supply-chain untuk mendeteksi dependensi yang berpotensi berbahaya.