Slow Fog menandai rilis axios yang berbahaya karena menarik malware plain-crypto-js, mengekspos pengembang kripto terhadap RAT lintas-platform dan kredensial yang dicuri melalui npm.

Perangkuman

• Slow Fog menandai [email protected] dan [email protected] sebagai berbahaya setelah akun pemelihara dikompromikan.
• Paket [email protected] yang disuntikkan menjatuhkan trojan akses jarak jauh lintas-platform melalui skrip postinstall.
• Pengembang yang menggunakan [email protected] diminta untuk memutar kredensial dan memeriksa host, karena npm membatalkan axios kembali ke 1.14.0.

Perusahaan keamanan blockchain Slow Fog mengeluarkan pengingat keamanan mendesak setelah rilis baru [email protected] dan [email protected] menarik dependensi berbahaya, [email protected], mengubah salah satu klien HTTP JavaScript yang paling banyak digunakan menjadi senjata rantai pasok terhadap pengembang kripto. Axios menerima lebih dari 80 juta unduhan mingguan di npm, artinya bahkan kompromi singkat dapat merembet ke backend dompet, bot trading, bursa, dan infrastruktur DeFi yang dibangun di atas Node.js. Dalam peringatannya, Slow Fog memperingatkan bahwa “pengguna yang menginstal [email protected] via npm install -g berpotensi terekspos,” serta merekomendasikan rotasi kredensial segera dan investigasi menyeluruh di sisi host untuk tanda-tanda kompromi.

Serangan ini bergantung pada paket kriptografi palsu, [email protected], yang secara diam-diam ditambahkan sebagai dependensi baru dan digunakan semata-mata untuk mengeksekusi skrip postinstall yang diobfuskasi sehingga menjatuhkan trojan akses jarak jauh lintas-platform yang menargetkan sistem Windows, macOS, dan Linux.

Perusahaan keamanan StepSecurity menjelaskan bahwa “tidak ada satu pun baris kode berbahaya di dalam Axios itu sendiri pada versi yang berbahaya,” dan bahwa sebagai gantinya “keduanya menyuntikkan dependensi palsu, [email protected], yang satu-satunya tujuannya adalah menjalankan skrip postinstall yang menerapkan trojan akses jarak jauh lintas-platform (RAT).” Tim riset Socket mencatat bahwa paket plain-crypto-js berbahaya dipublikasikan hanya beberapa menit sebelum rilis axios yang dikompromikan, menyebutnya sebagai “serangan rantai pasok yang terkoordinasi” terhadap ekosistem JavaScript.

Akun pemelihara Axios dibajak

Menurut StepSecurity, rilis axios yang berbahaya didorong menggunakan kredensial npm yang dicuri milik pemelihara utama “jasonsaayman,” sehingga memungkinkan penyerang melewati alur rilis proyek yang biasanya berbasis GitHub. “Ini adalah kompromi rantai pasok langsung di [email protected], yang kini baru bergantung pada [email protected]—sebuah paket yang dipublikasikan beberapa jam lebih dulu dan diidentifikasi sebagai malware yang diobfuskasi yang mengeksekusi perintah shell dan menghapus jejak,” tulis insinyur keamanan Julian Harris di LinkedIn. npm sekarang telah menghapus versi berbahaya dan mengembalikan resolusi axios ke 1.14.0, tetapi lingkungan apa pun yang menarik 1.14.1 atau 0.3.4 selama jendela serangan tetap berisiko hingga rahasia diputar dan sistem dibangun ulang.

Kompromi ini menyeberangi insiden npm sebelumnya yang secara langsung menargetkan pengguna kripto, termasuk kampanye 2025 di mana 18 paket populer seperti chalk dan debug secara diam-diam menukar alamat dompet untuk mencuri dana, sehingga mendorong CTO Ledger Charles Guillemet untuk memperingatkan bahwa “paket yang terdampak sudah diunduh lebih dari 1 miliar kali.” Para peneliti juga telah mendokumentasikan malware npm yang mencuri kunci dari dompet Ethereum, XRP, dan Solana, dan SlowMist memperkirakan peretasan dan penipuan kripto — termasuk paket yang dibackdoor dan serangan rantai pasok berbantuan AI — menyebabkan lebih dari $2,3 miliar kerugian hanya pada paruh pertama 2025. Untuk saat ini, saran Slow Fog tegas: turunkan axios ke 1.14.0, audit dependensi untuk setiap jejak [email protected] atau openclaw, dan anggap bahwa kredensial apa pun yang disentuh oleh lingkungan tersebut telah dikompromikan.

Peringatan sebelumnya tentang rantai pasok perangkat lunak

Dalam cerita crypto.news sebelumnya tentang serangan rantai pasok JavaScript, Guillemet dari Ledger memperingatkan bahwa paket npm yang dikompromikan dengan lebih dari 2 miliar unduhan mingguan menimbulkan risiko sistemik bagi dApp dan dompet yang dibangun di Node.js. Cerita lain merinci bagaimana Kelompok Lazarus Korea Utara menanam paket npm berbahaya untuk membackdoor lingkungan pengembang dan menargetkan pengguna dompet Solana dan Exodus. Cerita crypto.news ketiga tentang malware generasi berikutnya menunjukkan bagaimana serangan rantai pasok pembackdoor melalui npm dan alat AI berbiaya rendah membantu penjahat mengendalikan secara jarak jauh lebih dari 4.200 mesin pengembang dan berkontribusi pada kerugian kripto yang mencapai miliaran dolar.