Typosquatting Kini Jadi Masalah Rantai Pasok, Bukan Lagi Kesalahan Pengguna

Typosquatting tidak lagi menjadi masalah yang hanya dihadapi pengguna akibat salah ketik URL. Saat ini, ancaman ini telah berevolusi menjadi masalah rantai pasok yang sangat berbahaya, di mana domain-domain palsu yang menyerupai domain asli disisipkan secara otomatis ke dalam skrip pihak ketiga yang dijalankan oleh situs web Anda. Sistem keamanan siber yang selama ini digunakan, seperti firewall dan sistem deteksi intrusi, tidak mampu mendeteksi serangan ini karena terjadi di dalam browser pengguna setelah skrip tersebut dieksekusi.

Kasus Trust Wallet: Kerugian $8,5 Juta Tanpa Server Diretas

Pada 24 Desember 2025, pengguna Trust Wallet mulai kehilangan dana mereka tanpa melakukan kesalahan seperti mengklik tautan phishing atau menggunakan password lemah. Penyebabnya adalah ekstensi Chrome resmi Trust Wallet yang telah di-trojanisasi melalui rantai pasok perangkat lunak. Sebuah worm bernama Shai-Hulud berhasil mencuri kredensial developer selama berbulan-bulan, termasuk token GitHub, kunci publikasi npm, dan kredensial API Chrome Web Store. Dengan akses ini, pelaku mengunggah versi ekstensi yang terinfeksi melalui saluran resmi yang lolos verifikasi Chrome.

Ekstensi jahat ini berjalan di browser pengguna, diam-diam mencuri frasa seed dan mengirimkannya ke domain yang menyerupai endpoint analitik resmi Trust Wallet. Dalam waktu 48 jam, sebanyak 2.500 dompet dikuras dengan total kerugian mencapai $8,5 juta. Tidak ada server yang diretas dan tidak ada peringatan keamanan yang muncul. Hal ini menegaskan bahwa kontrol keamanan tradisional tidak dirancang untuk memantau aktivitas di dalam sesi browser yang sudah terinfeksi.

Perkembangan Typosquatting: Dari Pengguna ke Rantai Pasok

Typosquatting telah melalui tiga fase utama:

1. Fase Awal: Pengguna salah ketik alamat domain dan diarahkan ke situs palsu.
2. Fase Kedua: Kompromi paket perangkat lunak dan pustaka open source.
3. Fase Ketiga: Penyisipan domain palsu ke dalam skrip pihak ketiga yang sudah dipercaya, memanfaatkan kecanggihan AI untuk membuat ribuan varian domain palsu dalam hitungan menit.

Penggunaan model bahasa besar (Large Language Models/LLM) memungkinkan pelaku menghasilkan domain tiruan yang sangat meyakinkan dan menjalankan kampanye secara cepat. Data Sonatype menunjukkan bahwa unggahan paket berbahaya ke repositori open source meningkat 156% dalam setahun terakhir, membuat verifikasi manual menjadi tidak efektif.

Contoh Serangan Rantai Pasok Terkemuka

• Trust Wallet Chrome Extension (Desember 2025): Trojan pada ekstensi resmi yang mencuri frasa seed pengguna tanpa terdeteksi.
• Serangan npm chalk/debug (September 2025): Phishing terhadap pemelihara paket npm besar yang menginfeksi 18 pustaka JavaScript dengan 2 miliar unduhan mingguan.
• Serangan pada pustaka Solana Web3.js (Desember 2024): Kompromi akun publish npm yang menyebarkan versi berbahaya yang mencuri kunci pribadi cryptocurrency.

Bagaimana Serangan Ini Berjalan: Kepercayaan yang Disalahgunakan

Serangan tradisional mengandalkan rekayasa sosial untuk memanipulasi manusia agar melakukan kesalahan. Namun, serangan modern ini tidak lagi butuh menipu pengguna secara langsung karena sudah memanfaatkan kepercayaan yang sudah diberikan secara otomatis dalam rantai pasok perangkat lunak.

Dalam banyak kasus, sistem build sudah mempercayai paket npm, vendor sudah dipercaya, dan browser mempercayai vendor tersebut. Pelaku hanya perlu menyusup di salah satu titik rantai kepercayaan ini untuk melancarkan serangan. Ini disebut subversi rantai pasok, di mana penipuan ditujukan ke graf ketergantungan perangkat lunak, bukan ke individu pengguna.

Kelemahan Sistem Keamanan Saat Ini

Banyak situs web modern menjalankan 40-60 skrip pihak ketiga, seperti widget pemasaran, piksel analitik, atau framework pengujian A/B, yang semuanya dipercaya. Namun, jika skrip ini diubah secara diam-diam, misalnya dengan menyisipkan overlay yang mencuri data, server tidak akan mendeteksi hal ini karena sesi browser berjalan normal dan tidak ada alarm yang muncul.

Salah satu kontrol yang sering dijadikan andalan adalah Content Security Policy (CSP). Namun, CSP hanya mengatur domain mana yang boleh menjalankan skrip (sebagai daftar tamu), bukan memantau apa yang dilakukan skrip tersebut setelah dijalankan. Jadi, skrip yang diizinkan tetap bisa mengakses dan mengirim data sensitif tanpa terdeteksi.

Pendeteksian yang Diperlukan: Monitoring Perilaku Runtime

Menurut laporan IBM Cost of a Data Breach 2025, rata-rata waktu untuk menemukan pelanggaran data adalah 241 hari. Dalam serangan rantai pasok yang beroperasi di browser, waktu ini bisa jauh lebih lama kecuali ada pemantauan runtime secara langsung.

Pendeteksian efektif harus mengamati aktivitas skrip setelah dijalankan, seperti:

• Pengiriman data tak terduga ke domain yang tidak dikenali
• Resolusi domain dinamis yang baru didaftarkan atau berubah secara tiba-tiba
• Perubahan perilaku skrip yang mencurigakan dibandingkan baseline sebelumnya

Karena kode jahat kini semakin terobfuscate dan lolos dari analisis statis, pendekatan terbaik adalah menjalankan skrip di lingkungan terinstrumentasi dan memantau perilaku sebenarnya, bukan sekadar membaca kode sumber.

Langkah yang Harus Dilakukan Organisasi

Berikut urutan prioritas yang direkomendasikan untuk meningkatkan keamanan:

1. Minggu ini:
   • Audit skrip pihak ketiga untuk domain CDN yang baru terdaftar
   • Review laporan CSP, tidak hanya pelanggaran tapi juga aktivitas skrip yang diizinkan
   • Prioritaskan pemantauan halaman yang menangani data sensitif seperti pembayaran dan login
2. Bulan ini:
   • Implementasi monitoring perilaku runtime pada halaman pembayaran dan autentikasi
   • Bangun baseline perilaku untuk semua skrip pihak ketiga yang disetujui
   • Gunakan Subresource Integrity (SRI) untuk skrip yang di-host sendiri atau bisa di-cache

Kontrol seperti pendaftaran domain proaktif, CSP ketat, dan DMARC yang ditegakkan sangat penting untuk mengamankan domain, pengiriman skrip, dan email. Namun, mereka tidak mampu memantau modifikasi diam-diam pada skrip yang sudah diizinkan. Inilah celah yang sering terlupakan sampai terjadi kerugian besar.

Analisis Redaksi

Menurut pandangan redaksi, serangan typosquatting yang kini bergeser ke ranah rantai pasok ini merupakan game-changer dalam keamanan siber. Ancaman tidak lagi bergantung pada kesalahan pengguna, melainkan mengandalkan kepercayaan yang sudah melekat dalam ekosistem perangkat lunak modern. Ini menuntut perubahan paradigma dalam pendekatan keamanan, dari fokus pada perimeter dan server menjadi pemantauan aktivitas di sisi klien secara real-time.

Selain itu, peningkatan kecanggihan AI dalam membuat domain palsu dan menyembunyikan kode jahat menuntut solusi keamanan yang mampu melakukan analisis perilaku runtime dan deobfuscation secara otomatis. Organisasi yang tidak segera beradaptasi berisiko menghadapi kerugian besar yang sulit dideteksi dan diatasi.

Kedepannya, pelaku kejahatan siber mungkin akan semakin memanfaatkan rantai pasok perangkat lunak sebagai pintu masuk utama serangan, bukan lagi eksploitasi langsung terhadap pengguna atau server. Oleh karena itu, penting bagi semua pemangku kepentingan untuk meningkatkan transparansi dan kontrol terhadap komponen pihak ketiga yang digunakan dalam infrastruktur digital mereka.

Bagi yang ingin memahami lebih dalam strategi perlindungan terhadap typosquatting di era AI ini, dapat mengunduh panduan lengkap dari The Hacker News yang membahas tata kelola domain, kontrol dasar, pemantauan runtime, dan roadmap implementasi bertahap.