Socket：npm paket axios diserang serangan rantai pasokan, versi terbaru 1.14.1 disisipkan kode berbahaya

MeNews · 2026-03-31T20:52:10+00:00

Pendiri SlowMist, Yu Xian, memperingatkan bahwa paket dependensi inti dalam ekosistem npm, axios, sedang mengalami serangan rantai pasokan aktif, dan versi terbaru telah disusupi paket berbahaya. Disarankan pengguna untuk mengunci versi dan menghindari pembaruan.

MeNews

2026-03-31 20:52:10

Pembuatan abstrak sedang berlangsung

Berita ME: Pesan, 31 Maret (UTC+8). Pendiri SlowMist Yu Xuan meneruskan peringatan dari pendiri Socket AI, Feross, yang menyatakan bahwa paket dependensi inti di ekosistem npm, axios, sedang diserang melalui serangan rantai pasokan aktif. Versi terbarunya, axios@1.14.1, telah disusupi dengan paket berbahaya plain-crypto-js@4.2.1 yang sebelumnya tidak pernah ada. Analisis Socket AI telah mengonfirmasi bahwa paket tersebut adalah perangkat lunak berbahaya. Unduhan axios per minggu lebih dari 100 juta kali, dan semua proyek yang menarik versi terbaru menghadapi risiko potensi infiltrasi. Feross menyarankan semua pengguna axios untuk segera mengunci versi dan memeriksa file lock, serta jangan melakukan upgrade ke versi terbaru. (Sumber: Foresight News)

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

1 Suka