Axios npm Diserang, Segera Perbarui Kunci API Anda

• Peringatan keamanan telah dikeluarkan untuk library klien HTTP JavaScript populer, Axios, menyusul serangan rantai pasokan.
• Axios versi 1.14.1 dan 0.30.4 diidentifikasi telah disusupi dan mengandung kode berbahaya.
• Pengembang dan pengguna didesak untuk segera melakukan rotasi pada semua kunci API, kredensial login, dan token sesi yang digunakan dalam lingkungan yang terdampak.

Penemuan Rilis Berbahaya

Perusahaan keamanan siber Socket dan OX Security baru-baru ini menandai dua rilis paket npm Axios yang telah disusupi. Versi yang dimaksud, axios@1.14.1 dan axios@0.30.4, telah dimodifikasi untuk menyertakan dependensi berbahaya yang dikenal sebagai plain-crypto-js@4.2.1. Dependensi ini diterbitkan sesaat sebelum serangan dan dirancang untuk berjalan secara otomatis selama proses instalasi melalui skrip post-install.

Menurut OX Security, kode yang diubah tersebut memberikan akses jarak jauh (remote access) kepada penyerang ke perangkat yang terinfeksi. Akses tidak sah ini memungkinkan pencurian data sensitif, termasuk:

• Kredensial login dan token sesi
• Kunci API yang digunakan untuk berbagai layanan
• Informasi dompet kripto

Dampak dan Rekomendasi bagi Pengembang

Insiden ini menyoroti kerentanan ekosistem open-source, di mana satu komponen yang disusupi dapat berdampak pada ribuan aplikasi hilir. Socket mencatat bahwa karena skrip berbahaya berjalan tanpa interaksi pengguna tambahan, sistem apa pun yang menggunakan versi Axios spesifik ini harus dianggap telah disusupi sepenuhnya.

Para pakar keamanan merekomendasikan agar pengembang segera meninjau file dependensi proyek mereka. Jika versi yang terpengaruh ditemukan, versi tersebut harus dihapus atau dikembalikan ke versi aman yang diketahui. Selain itu, semua kredensial yang disimpan atau diakses oleh sistem tersebut harus dirotasi untuk mencegah eksploitasi lebih lanjut.

Riwayat Kerentanan Rantai Pasokan

Pelanggaran ini mengikuti pola serangan rantai pasokan yang menargetkan sektor mata uang kripto. Pada 3 Januari, penyelidik on-chain ZachXBT melaporkan bahwa ratusan dompet di jaringan yang kompatibel dengan Ethereum Virtual Machine (EVM) telah dikuras. Peneliti seperti Vladimir S. menyatakan bahwa insiden ini kemungkinan terkait dengan pelanggaran pada bulan Desember yang melibatkan Trust Wallet.

Kompromi sebelumnya, yang mengakibatkan kerugian sekitar $7 juta di lebih dari 2.500 dompet, juga dikaitkan dengan masalah rantai pasokan yang melibatkan paket npm. Peristiwa ini mempertegas kebutuhan mendesak akan audit keamanan yang ketat terhadap library pihak ketiga yang digunakan dalam aplikasi keuangan dan blockchain.