Belakangan ini muncul sebuah insiden keamanan yang cukup serius. Tim keamanan menemukan 3 paket berbahaya yang mengaku sebagai perpustakaan Bitcoin terkait di dalam pustaka open-source npm—yaitu bitcoin-main-lib, bitcoin-lib-js, dan bip40—yang sebelum dibersihkan sudah diunduh lebih dari 3400 kali.

Paket berbahaya ini menyembunyikan sebuah trojan remote control bernama NodeCordRAT. Jika tanpa sengaja menginstalnya, hal yang bisa dilakukan oleh malware ini sangat mengerikan: langsung mengambil kredensial login dari Chrome, mencuri berbagai API Token, dan yang paling berbahaya adalah mengincar dompet MetaMask Anda—kunci pribadi dan frase pemulihan bisa dicuri. Bayangkan saja, ini sama saja dengan seseorang mendapatkan kunci dompet Anda.

Lebih menakutkan lagi, setelah terinfeksi, trojan ini dapat mengirim data Anda kembali melalui berbagai saluran, sehingga cukup sulit untuk dicegah.

Bagi para pengembang, ini adalah peringatan langsung:

1. **Hati-hati saat mengunduh paket open-source** — verifikasi nama paket, periksa apakah proyek GitHub-nya benar-benar ada, lihat jumlah bintang dan frekuensi pembaruan

2. **Lindungi dompet MetaMask Anda** — periksa aktivitas dompet secara rutin, jangan login di komputer yang tidak dikenal, gunakan hardware wallet saat melakukan operasi penting untuk keamanan lebih

3. **Perhatikan kredensial browser** — ubah password secara berkala, pastikan browser bersih sebelum melakukan transaksi besar

4. **Isolasi API Token** — jangan beri izin terlalu besar pada satu token, gunakan token berbeda untuk skenario berbeda, lakukan rotasi secara rutin

Insiden seperti ini mengingatkan kita bahwa tanggung jawab keamanan Web3 tetap berada di tangan pengguna. Lebih waspada, jangan mudah tertipu.