Pengguna Claude Code berhati-hatilah! TanStack NPM disusupi peretasan dan penyisipan berbahaya, dengan unduhan hingga 12,7 juta kali per minggu

Kumpulan terkenal TanStack diserang oleh hacker TeamPCP yang menyuntikkan malware, mempengaruhi berbagai alat pengembangan AI dan dompet kripto. Program jahat tidak hanya mencuri kredensial rahasia, tetapi juga akan secara balasan menghapus data pengguna setelah ditemukan, menyoroti meningkatnya ancaman serangan rantai pasokan.

TanStack NPM diserang, pengguna Claude dan pengguna kripto terdampak

Serangan rantai pasokan NPM besar-besaran kembali terjadi! Paket TanStack NPM yang diunduh setidaknya 12,7 juta kali per minggu, telah disusupi oleh kelompok hacker. Serangan ini menargetkan ekosistem AI yang sedang populer akhir-akhir ini, termasuk paket terkait seperti Mistral AI, OpenSearch, dan Guardrails AI.

Kelompok hacker utama menyisipkan kode berbahaya ke dalam alat bantu penulisan kode AI yang umum digunakan oleh pengembang, seperti Claude Code dan lingkungan editor VS Code dari Microsoft, untuk mencuri kredensial rahasia pengguna, termasuk yang sangat penting bagi pengembang, yaitu token akses GitHub.

Jika Anda mengunduh versi TanStack NPM yang disuntikkan pada 11 Mei 2026, harap segera ikutipanduan resmi, dan ganti semua akun, kata sandi, serta kredensial cloud yang mungkin telah terpapar.

Kelompok hacker TeamPCP menyuntikkan malware dalam jumlah besar dalam enam menit

Berdasarkan laporan analisis dari StepSecurity, serangan ini dilakukan oleh kelompok hacker aktif bernama TeamPCP. Kelompok ini sebelumnya pada bulan Maret tahun ini, melancarkan serangan rantai pasokan bersarang terhadap paket open-source AI LiteLLM, yang menyebabkan ratusan GB data rahasia dan lebih dari 500.000 kredensial bocor.

• **Laporan terkait:**Ringkasan kejadian penyuntikan malware LiteLLM: Bagaimana memeriksa dompet kripto dan kunci cloud yang terpengaruh?

Kini, TeamPCP mengalihkan target ke TanStack, dan setelah serangan, mereka merilis worm virus berbahaya Mini Shai-Hulud yang bersumber terbuka di GitHub. Virus ini mampu menyebar sendiri, dan begitu masuk ke sistem, akan secara otomatis mencari dan mencuri berbagai kata sandi dan kunci.

Kasus serangan terhadap TanStack terjadi pada 11 Mei, di mana dalam waktu hanya 6 menit, hacker merilis 84 versi dari 42 paket terkait TanStack yang mengandung kode berbahaya, menggunakan tiga celah sistem dan reaksi berantai mekanisme untuk mencapai tujuannya.

Sumber gambar: StepSecurityStepSecurity merangkum paket terkait yang terdampak dari kasus hacking TanStack

Ringkasan kronologi serangan penyuntikan malware TanStack

Penulis telah membaca laporan analisis dan menyusun ringkasan singkat proses kejadian serangan terhadap TanStack sebagai berikut:

• Pertama, hacker membuat cabang (branch) baru di repositori kode TanStack dan secara diam-diam menyisipkan kode berbahaya di sana.
• Selanjutnya, memanfaatkan celah dalam mekanisme cache proses otomatis sistem. Saat sistem resmi menguji kode yang dikirim hacker, sistem menyimpan sementara file berbahaya tersebut. Ketika proses rilis perangkat lunak resmi dilakukan, sistem secara tidak sengaja membaca data cache yang terinfeksi ini.
• Terakhir, kode berbahaya yang aktif langsung membaca memori sistem saat berjalan, secara tepat mengekstrak kredensial keamanan berhak tinggi yang digunakan saat rilis perangkat lunak. Setelah mendapatkan kredensial, hacker dapat melewati pemeriksaan keamanan normal dan langsung merilis paket yang berisi worm berbahaya ke repositori NPM publik. Paket berbahaya ini bahkan memiliki cap sertifikasi keamanan resmi tertinggi, sehingga pengembang biasa tidak dapat membedakan bahaya dari penampilan luar.

Ketika pengembang yang tidak sadar mengunduh dan menginstal paket yang terinfeksi, Mini Shai-Hulud akan aktif diam-diam di latar belakang. Selain kunci layanan cloud umum, virus ini juga akan membaca lebih dari 100 jalur file default, meliputi file konfigurasi alat AI yang sering digunakan pengembang, pengaturan VPN virtual, dan file fisik dompet cryptocurrency seperti Bitcoin dan Ethereum.

Setelah kejadian, peneliti keamanan dari StepSecurity, Ashish Kurmi, mendeteksi aktivitas mencurigakan dalam waktu 20 menit dan melaporkannya. Tim resmi TanStack segera merespons dengan mengaktifkan langkah darurat, mencabut hak push mereka di GitHub untuk mencegah penyebaran lebih luas, dan menghubungi pihak NPM untuk menonaktifkan 84 versi berbahaya tersebut secara paksa.

Semakin kuat hacker, semakin sulit pertahanan

Kasus TanStack memberi peringatan keamanan kepada komunitas pengembang dan pengguna cryptocurrency, dan semakin populernya alat pengembangan AI dapat menyebabkan pemula yang tidak terbiasa dengan keamanan cyber tersandung jebakan.

Chief Technology Officer dompet dingin terkenal Ledger, Charles Guillemet, menyatakan bahwa serangan rantai pasokan NPM terhadap ekosistem AI ini paling licik karena skrip berbahaya ini terus memantau apakah kredensial GitHub yang dicuri telah dicabut oleh pengguna.

Jika sistem hacker mendeteksi bahwa pengguna menemukan aktivitas mencurigakan dan mencoba mencabut kredensial, kode berbahaya akan langsung melakukan balasan, menghapus data direktori utama pengguna di komputer korban.

Desain yang bersifat hukuman ini sangat mengganggu proses pemulihan dan remediasi pasca serangan oleh tim keamanan dan korban, serta memberi waktu lebih bagi hacker untuk memperdalam kerusakan dan pengendalian sistem. Selain itu, hacker yang tidak peduli dengan membuka sumber Mini Shai-Hulud juga membuktikan bahwa biaya serangan rantai pasokan NPM sangat rendah bagi mereka.

Dia dengan serius menyatakan: “Kita sedang memasuki era baru, di mana teknologi hacker menjadi sangat kuat, dan upaya pertahanan semakin sulit setiap hari.”