Socket：npm paket axios diserang serangan rantai pasokan, versi terbaru 1.14.1 disisipkan kode berbahaya

MeNews · 2026-04-01T01:42:55+00:00

Pendiri SlowMist, Yu Xian, memperingatkan bahwa paket dependensi inti dalam ekosistem npm, axios, sedang mengalami serangan rantai pasokan aktif, dan versi terbaru telah disusupi paket berbahaya. Disarankan pengguna untuk mengunci versi dan menghindari pembaruan.

MeNews

2026-04-01 01:42:55

Pembuatan abstrak sedang berlangsung

ME News mengabarkan, pada 31 Maret (UTC+8), pendiri SlowMist, Yu Xuan, meneruskan peringatan dari pendiri Socket AI, Feross, yang menyatakan bahwa paket dependensi inti dalam ekosistem npm, axios, menjadi target serangan rantai pasok aktif. Versi terbarunya, axios@1.14.1, telah disisipi paket berbahaya plain-crypto-js@4.2.1 yang sebelumnya tidak pernah ada. Analisis Socket AI telah mengonfirmasi bahwa paket tersebut adalah malware. Unduhan axios mingguan lebih dari 100 juta kali, dan semua proyek yang mengambil versi terbaru menghadapi risiko potensi peretasan. Feross menyarankan agar semua pengguna axios segera mengunci versinya dan meninjau file penguncian (lock file); jangan melakukan upgrade ke versi terbaru. (Sumber: Foresight News)

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

1 Suka