Perpustakaan Axios diserang melalui serangan rantai pasokan, hacker memanfaatkan token npm yang dicuri untuk menyisipkan backdoor jarak jauh, mempengaruhi sekitar 80% lingkungan cloud

Berita TechFlow Dalam, 02 April, menurut laporan VentureBeat, penyerang mencuri token akses npm milik maintainer utama untuk pustaka klien HTTP JavaScript paling populer, Axios, dan menggunakan token tersebut untuk memublikasikan dua versi berbahaya yang berisi trojan horse akses jarak jauh lintas-platform (RAT) (axios@1.14.1 dan axios@0.30.4), dengan target mencakup sistem macOS, Windows, dan Linux. Paket berbahaya tersebut bertahan di registri npm selama sekitar 3 jam sebelum dihapus.

Menurut data dari perusahaan keamanan Wiz, unduhan Axios per minggu lebih dari 100 juta kali, dan terdapat pada sekitar 80% lingkungan cloud dan kode. Perusahaan keamanan Huntress mendeteksi infeksi tahap pertama hanya 89 detik setelah paket berbahaya tersebut dipublikasikan, dan selama periode paparan, mereka mengonfirmasi sedikitnya 135 sistem telah disusupi.

Perlu dicatat bahwa proyek Axios sebelumnya telah menerapkan langkah keamanan modern seperti mekanisme penerbitan tepercaya OIDC dan bukti penelusuran SLSA, tetapi penyerang sepenuhnya mengabaikan semua pertahanan tersebut. Investigasi menemukan bahwa proyek, sekaligus mengonfigurasi OIDC, masih mempertahankan NPM_TOKEN tradisional yang berlaku dalam jangka panjang, dan ketika keduanya hidup berdampingan, npm secara default memprioritaskan token tradisional, sehingga penyerang tidak perlu menembus OIDC untuk menyelesaikan proses penerbitan.