Peringatan Keamanan dari Slow Fog
Slow Fog telah mengeluarkan peringatan keamanan mendesak terkait rilis paket axios yang berbahaya, yang menarik ketergantungan malware bernama plain-crypto-js. Hal ini mengekspos para pengembang cryptocurrency terhadap risiko Remote Access Trojan (RAT) lintas platform dan pencurian kredensial melalui npm.
Detail Serangan
Perusahaan keamanan blockchain ini menyoroti bahwa rilis axios@1.14.1 dan axios@0.3.4 yang baru diterbitkan menarik ketergantungan berbahaya, plain-crypto-js, yang mengubah salah satu klien HTTP paling banyak digunakan di JavaScript menjadi senjata rantai pasokan yang mengancam para pengembang crypto.
Axios sendiri memiliki lebih dari 80 juta unduhan mingguan di npm, sehingga bahkan kompromi yang berlangsung singkat dapat berdampak luas pada backend dompet, bot perdagangan, bursa, dan infrastruktur DeFi yang dibangun di atas Node.js.
Dalam advisornya, Slow Fog memperingatkan bahwa “pengguna yang menginstal
axios@1.14.1melaluinpm install -gberpotensi terpapar,” dan merekomendasikan agar pengguna segera merotasi kredensial serta melakukan penyelidikan menyeluruh di sisi host untuk mencari tanda-tanda kompromi.
Metode Serangan
Serangan ini bergantung pada paket kriptografi palsu, plain-crypto-js, yang ditambahkan secara diam-diam sebagai ketergantungan baru dan digunakan untuk mengeksekusi skrip postinstall yang terobfuscate, yang menjatuhkan trojan akses jarak jauh lintas platform yang menargetkan sistem Windows, macOS, dan Linux.
Perusahaan keamanan StepSecurity menjelaskan bahwa “tidak ada versi berbahaya yang mengandung satu baris kode berbahaya di dalam Axios itu sendiri,” melainkan “keduanya menyuntikkan ketergantungan palsu, plain-crypto-js, yang satu-satunya tujuannya adalah menjalankan skrip postinstall yang menyebarkan trojan akses jarak jauh (RAT).”
Investigasi dan Tindakan
Tim penelitian Socket mencatat bahwa paket plain-crypto-js yang berbahaya diterbitkan hanya beberapa menit sebelum rilis axios yang dikompromikan, menyebutnya sebagai “serangan rantai pasokan yang terkoordinasi” terhadap ekosistem JavaScript.
Menurut StepSecurity, rilis axios yang berbahaya didorong menggunakan kredensial npm yang dicuri dari pemelihara utama jasonsaayman, yang memungkinkan penyerang untuk melewati alur rilis berbasis GitHub yang biasa dari proyek tersebut.
“Ini adalah kompromi rantai pasokan langsung di
axios@1.14.1, yang baru bergantung padaplain-crypto-js—sebuah paket yang diterbitkan beberapa jam sebelumnya dan diidentifikasi sebagai malware terobfuscate yang mengeksekusi perintah shell dan menghapus jejak,” tulis insinyur keamanan Julian Harris di LinkedIn.
Respon npm dan Rekomendasi
npm kini telah menghapus versi berbahaya dan mengembalikan resolusi axios kembali ke 1.14.0, tetapi lingkungan mana pun yang menarik 1.14.1 atau 0.3.4 selama jendela serangan tetap berisiko hingga kredensial diputar ulang dan sistem dibangun kembali.
Kompromi ini mengingatkan pada insiden npm sebelumnya yang secara langsung menargetkan pengguna crypto, termasuk kampanye 2025 di mana 18 paket populer seperti chalk dan debug secara diam-diam menukar alamat dompet untuk mencuri dana.
Untuk saat ini, saran Slow Fog sangat jelas: turunkan axios ke 1.14.0, audit ketergantungan untuk setiap jejak plain-crypto-js atau openclaw, dan anggap bahwa kredensial yang terpengaruh oleh lingkungan tersebut telah dikompromikan.
Kesimpulan
Dalam sebuah cerita sebelumnya di crypto.news tentang serangan rantai pasokan JavaScript, Guillemet dari Ledger memperingatkan bahwa paket npm yang dikompromikan dengan lebih dari 2 miliar unduhan mingguan menimbulkan risiko sistemik bagi dApps dan dompet yang dibangun di atas Node.js.
Cerita lain merinci bagaimana Grup Lazarus dari Korea Utara menanamkan paket npm berbahaya untuk memasuki lingkungan pengembang dan menargetkan pengguna dompet Solana dan Exodus. Sebuah cerita ketiga tentang malware generasi berikutnya menunjukkan bagaimana serangan rantai pasokan backdoor melalui npm dan alat AI berbiaya rendah membantu penjahat mengendalikan lebih dari 4.200 mesin pengembang dari jarak jauh dan berkontribusi pada kerugian miliaran dolar dalam crypto.
