Slow Fog<\/strong> telah mengeluarkan peringatan keamanan mendesak terkait rilis paket axios<\/strong> yang berbahaya, yang menarik ketergantungan malware bernama plain-crypto-js<\/strong>. Hal ini mengekspos para pengembang cryptocurrency terhadap risiko Remote Access Trojan (RAT)<\/strong> lintas platform dan pencurian kredensial melalui npm.<\/p>\n Perusahaan keamanan blockchain ini menyoroti bahwa rilis Axios<\/strong> sendiri memiliki lebih dari 80 juta unduhan mingguan<\/strong> di npm, sehingga bahkan kompromi yang berlangsung singkat dapat berdampak luas pada backend dompet, bot perdagangan, bursa, dan infrastruktur DeFi<\/strong> yang dibangun di atas Node.js<\/strong>.<\/p>\n Dalam advisornya, Slow Fog memperingatkan bahwa “pengguna yang menginstal Serangan ini bergantung pada paket kriptografi palsu, Perusahaan keamanan StepSecurity<\/strong> menjelaskan bahwa “tidak ada versi berbahaya yang mengandung satu baris kode berbahaya di dalam Axios itu sendiri,” melainkan “keduanya menyuntikkan ketergantungan palsu, Tim penelitian Socket<\/strong> mencatat bahwa paket Menurut StepSecurity<\/strong>, rilis axios yang berbahaya didorong menggunakan kredensial npm yang dicuri dari pemelihara utama jasonsaayman<\/strong>, yang memungkinkan penyerang untuk melewati alur rilis berbasis GitHub yang biasa dari proyek tersebut.<\/p>\n “Ini adalah kompromi rantai pasokan langsung di npm<\/strong> kini telah menghapus versi berbahaya dan mengembalikan resolusi axios kembali ke Kompromi ini mengingatkan pada insiden npm sebelumnya yang secara langsung menargetkan pengguna crypto, termasuk kampanye 2025 di mana 18 paket populer<\/strong> seperti chalk<\/strong> dan debug<\/strong> secara diam-diam menukar alamat dompet untuk mencuri dana.<\/p>\n Untuk saat ini, saran Slow Fog<\/strong> sangat jelas: turunkan axios ke Dalam sebuah cerita sebelumnya di crypto.news tentang serangan rantai pasokan JavaScript, Guillemet<\/strong> dari Ledger memperingatkan bahwa paket npm yang dikompromikan dengan lebih dari 2 miliar unduhan mingguan<\/strong> menimbulkan risiko sistemik bagi dApps dan dompet yang dibangun di atas Node.js<\/strong>.<\/p>\n Cerita lain merinci bagaimana Grup Lazarus<\/strong> dari Korea Utara menanamkan paket npm berbahaya untuk memasuki lingkungan pengembang dan menargetkan pengguna dompet Solana<\/strong> dan Exodus<\/strong>. Sebuah cerita ketiga tentang malware generasi berikutnya menunjukkan bagaimana serangan rantai pasokan backdoor melalui npm dan alat AI berbiaya rendah membantu penjahat mengendalikan lebih dari 4.200 mesin pengembang<\/strong> dari jarak jauh dan berkontribusi pada kerugian miliaran dolar dalam crypto.<\/p>\n","protected":false},"excerpt":{"rendered":" Peringatan Keamanan dari Slow Fog Slow Fog telah mengeluarkan peringatan keamanan mendesak terkait rilis paket axios yang berbahaya, yang menarik ketergantungan malware bernama plain-crypto-js. Hal ini mengekspos para pe…<\/p>\n","protected":false},"author":3,"featured_media":18349,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[47],"tags":[10126,4218,9713,4313,4392,4241,4391,4507,4395,4312],"class_list":["post-18350","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hack","tag-charles-guillemet","tag-ethereum","tag-exodus","tag-hack","tag-lazarus","tag-ledger","tag-north-korea","tag-ripple","tag-slowmist","tag-solana"],"yoast_head":"\nDetail Serangan<\/h2>\n
axios@1.14.1<\/code> dan axios@0.3.4<\/code> yang baru diterbitkan menarik ketergantungan berbahaya, plain-crypto-js<\/code>, yang mengubah salah satu klien HTTP paling banyak digunakan di JavaScript menjadi senjata rantai pasokan yang mengancam para pengembang crypto.<\/p>\n\n
axios@1.14.1<\/code> melalui npm install -g<\/code> berpotensi terpapar,” dan merekomendasikan agar pengguna segera merotasi kredensial serta melakukan penyelidikan menyeluruh di sisi host untuk mencari tanda-tanda kompromi.<\/p>\n<\/blockquote>\nMetode Serangan<\/h2>\n
plain-crypto-js<\/code>, yang ditambahkan secara diam-diam sebagai ketergantungan baru dan digunakan untuk mengeksekusi skrip postinstall<\/strong> yang terobfuscate, yang menjatuhkan trojan akses jarak jauh lintas platform yang menargetkan sistem Windows<\/strong>, macOS<\/strong>, dan Linux<\/strong>.<\/p>\nplain-crypto-js<\/code>, yang satu-satunya tujuannya adalah menjalankan skrip postinstall yang menyebarkan trojan akses jarak jauh (RAT).”<\/p>\nInvestigasi dan Tindakan<\/h2>\n
plain-crypto-js<\/code> yang berbahaya diterbitkan hanya beberapa menit sebelum rilis axios yang dikompromikan, menyebutnya sebagai “serangan rantai pasokan yang terkoordinasi” terhadap ekosistem JavaScript.<\/p>\n\n
axios@1.14.1<\/code>, yang baru bergantung pada plain-crypto-js<\/code>\u2014sebuah paket yang diterbitkan beberapa jam sebelumnya dan diidentifikasi sebagai malware terobfuscate yang mengeksekusi perintah shell dan menghapus jejak,” tulis insinyur keamanan Julian Harris<\/strong> di LinkedIn.<\/p>\n<\/blockquote>\nRespon npm dan Rekomendasi<\/h2>\n
1.14.0<\/code>, tetapi lingkungan mana pun yang menarik 1.14.1<\/code> atau 0.3.4<\/code> selama jendela serangan tetap berisiko hingga kredensial diputar ulang dan sistem dibangun kembali.<\/p>\n1.14.0<\/code>, audit ketergantungan untuk setiap jejak plain-crypto-js<\/code> atau openclaw<\/code>, dan anggap bahwa kredensial yang terpengaruh oleh lingkungan tersebut telah dikompromikan.<\/p>\nKesimpulan<\/h2>\n