Serangan siber yang canggih telah mengungkap kerentanan kritis dalam registri paket JavaScript npm, yang memungkinkan peretas memasukkan kode berbahaya ke dalam pustaka klien HTTP axios yang banyak digunakan. Versi yang disusupi, yang aktif selama tiga jam, berisi trojan akses jarak jauh (RAT) lintas platform yang menargetkan sistem macOS, Windows, dan Linux. Insiden ini menyoroti kelemahan mendasar dalam rantai pasokan perangkat lunak di mana metode autentikasi yang sudah ketinggalan zaman melemahkan langkah-langkah keamanan yang paling canggih sekalipun.
Serangan: Penargetan Presisi dari Ketergantungan Inti
Penyerang mengeksploitasi token akses npm yang berumur panjang milik pengelola axios utama, melewati protokol keamanan modern seperti GitHub Actions CI/CD dan pengesahan asal SLSA. Paket berbahaya, [email protected] dan [email protected], menyebarkan dependensi tersembunyi ([email protected] ) yang mengeksekusi skrip pasca-instalasi, dan secara diam-diam menginstal RAT pada mesin pengembang. Para penyerang melancarkan serangan dengan terlebih dahulu menerbitkan versi bersih dari ketergantungan berbahaya untuk membangun kredibilitas sebelum menerapkan versi yang dipersenjatai.
Pelanggaran ini sangat mengkhawatirkan mengingat axios mendukung sekitar 80% lingkungan cloud dan kode, termasuk front-end React, pipeline CI/CD, dan fungsi tanpa server. Wiz melaporkan bahwa lebih dari 100 juta unduhan per minggu bergantung pada perpustakaan ini, yang berarti potensi jangkauan serangan sangat besar. Huntress mendeteksi infeksi pertama hanya 89 detik setelah paket berbahaya diluncurkan, dengan setidaknya 135 sistem yang disusupi teridentifikasi di antara para pelanggannya.
Pola Berulang: Kompromi Kredensial Tetap Menjadi Kelemahan Utama
Insiden ini menandai kompromi besar ketiga dalam rantai pasokan npm dalam tujuh bulan, yang semuanya berasal dari pencurian kredensial pengelola. Terlepas dari upaya seluruh industri untuk memperkuat ekosistem setelah worm Shai-Hulud pada tahun 2025 dan kerentanan berikutnya yang ditemukan oleh Koi Security, masalah mendasar tetap ada: akun pengelola individu masih menjadi mata rantai terlemah.
Para penyerang melewati tumpukan keamanan proyek dengan mengeksploitasi fakta bahwa npm defaultnya adalah token klasik yang berumur panjang jika ada OIDC dan token lama. Artinya, bahkan dengan mekanisme autentikasi modern yang ada, kredensial yang ketinggalan jaman dapat secara diam-diam menggantikan mekanisme tersebut. Seperti yang dijelaskan oleh Merritt Baer, CSO di Enkrypt AI dan mantan Deputy CISO di AWS, “Kontrol modern akan diterapkan, tetapi jika token atau kunci lama tidak dihentikan, sistem akan secara diam-diam lebih memilihnya.”
Langkah Segera untuk Organisasi
Organisasi yang menggunakan Node.js harus menganggap hal ini sebagai insiden aktif hingga sistem yang bersih dapat dipastikan. Jendela eksposur turun selama jam-jam puncak pengembangan, dan pipeline CI/CD mungkin secara otomatis menarik versi yang disusupi.
Langkah-langkah berikut ini sangat penting:
- Periksa Eksposur: Telusuri file kunci dan log CI untuk versi
axiosyang berbahaya (1.14.1,0.30.4) atau ketergantungan tersembunyi (plain-crypto-js). - Sematkan Dependensi: Segera sematkan ke versi yang dikenal baik (
[email protected]atau[email protected]). - Asumsikan Kompromi: Bangun kembali mesin yang terpengaruh dari kondisi yang diketahui baik dan putar semua kredensial yang dapat diakses (token npm, kunci AWS, kunci SSH, rahasia CI/CD).
- Blokir Perintah & Kontrol: Tambahkan
sfrclak.comdan142.11.206.73ke daftar blokir DNS dan aturan firewall. - Pindai Artefak: Periksa artefak RAT pada sistem yang terpengaruh (lihat artikel asli untuk lokasi spesifik OS).
Masalah yang Lebih Besar: Kesenjangan Kredensial Tetap Terbuka
Pelanggaran axios ini menggarisbawahi kelemahan kritis dalam rantai pasokan perangkat lunak: ketergantungan pada akun pengelola individu sebagai jangkar kepercayaan utama. Meskipun ada upaya industri untuk meningkatkan keamanan, kompromi kredensial tetap menjadi vektor serangan utama. Hingga npm memberlakukan pengesahan asal yang wajib atau penandatanganan multi-pihak, ekosistem akan tetap rentan.
Seperti yang disimpulkan Baer, ”Kompromi kredensial adalah tema yang berulang dalam pelanggaran npm… Kami memitigasi risiko. Kami tidak menghilangkannya.” Pengelola axios mengikuti praktik terbaik, namun token lama melemahkan semua upaya tersebut. Masalah mendasar bukan hanya pada kata sandi yang lemah; ini adalah kelemahan struktural di mana metode autentikasi yang ketinggalan jaman secara diam-diam mengesampingkan langkah-langkah keamanan modern.
