- Malware menyamar sebagai alat PDF dan mengganti file inti dompet kripto tanpa disadari pengguna.
- File dompet tetap terinfeksi walau malware dihapus, transaksi pengguna tetap bisa disadap.
Para pengguna dompet kripto Exodus dan Atomic Wallet tengah berada di bawah ancaman baru yang tidak bisa dianggap sepele. Tim keamanan dari ReversingLabs mengungkap adanya malware tersembunyi dalam paket npm palsu bernama “pdf-to-office.” Sekilas terlihat seperti alat konversi dokumen biasa, paket ini ternyata menyimpan niat jahat.
Saat diinstal, malware akan mencari file instalasi dari Exodus dan Atomic di perangkat pengguna. Kalau ketemu, file tersebut langsung diganti dengan versi yang sudah dimodifikasi. Hasilnya? Alamat dompet tujuan dalam transaksi pengguna diam-diam diganti dengan alamat si penyerang.
Malware Menyasar Struktur Dalam Exodus dan Atomic
Lebih lanjut lagi, file berbahaya ini memodifikasi secara spesifik bagian inti dari dua aplikasi dompet tersebut. Untuk pengguna Atomic Wallet, yang jadi target adalah file “app.asar.” Sementara pada Exodus, yang diubah adalah skrip di folder tampilan pengguna.
Bahkan setelah malware-nya dihapus dari npm, file yang sudah terlanjur rusak akan tetap aktif dan terus mencuri transaksi. Jadi kalau merasa pernah install alat konversi dokumen yang mencurigakan, ada baiknya uninstall dan pasang ulang dompet dari sumber resminya.
Ancaman Semakin Kompleks, Bukan Cuma dari Satu Arah
Masalahnya tidak berhenti di situ. Di sisi lain, CNF sebelumnya melaporkan bahwa Tim Respons Insiden Microsoft ikut menemukan trojan akses jarak jauh yang memakai teknik canggih untuk mencuri data pengguna.
Trojan ini, yang diberi nama StilachiRAT, bisa melewati sistem keamanan Chrome untuk mencuri kredensial dompet dan data finansial. Bahkan ia bisa memantau aktivitas clipboard dan mengganti alamat transaksi sebelum korban sempat menyadarinya.
Ancaman serupa juga muncul lewat ekstensi Microsoft Office palsu yang sempat tersebar di SourceForge. Menurut laporan Kaspersky, malware bernama ClipBanker yang tertanam di dalamnya akan otomatis menggantikan alamat kripto saat pengguna menyalin alamat tujuan. Lagi-lagi, korban nggak sadar dan dana keburu terkirim ke pihak yang salah.
Belum cukup? Masih ada lagi. Malware Lumma dan AMOS menyebar dengan cara yang cukup licik, lewat unggahan-unggahan di Reddit yang menjanjikan software popular versi gratisan, seperti TradingView bajakan. Begitu diunduh dan dijalankan, malware langsung bekerja di balik layar, menyasar data sensitif dan dompet kripto yang tersimpan di perangkat.
Ini jadi pengingat, kalaupun kita merasa cukup melek teknologi, celahnya kadang justru datang dari hal-hal kecil yang tampak nggak berbahaya. File konversi, ekstensi kantor, atau software gratisan—semuanya bisa jadi pintu masuk.
Satu klik bisa bikin dompet kosong. Sekarang bukan cuma soal menyimpan kripto dengan aman, tapi juga soal menjaga setiap aktivitas digital tetap bersih dari jebakan semacam ini.
Langkah terbaik? Hapus file mencurigakan, perbarui dompet ke versi resmi, dan jangan asal install sesuatu cuma karena tampilannya keren atau karena “katanya” gratis. Lebih baik repot sedikit di awal daripada rugi besar belakangan.
