Serangan rantai pasok kembali mengguncang ekosistem JavaScript setelah paket npm Axios, salah satu library HTTP paling populer di dunia, dibajak dan dipakai untuk menyebarkan malware lintas platform. Insiden ini menimpa dua rilis berbahaya, axios@1.14.1 dan axios@0.30.4, yang menurut StepSecurity menyisipkan trojan akses jarak jauh diam-diam ke mesin pengembang di macOS, Windows, dan Linux.
Axios selama ini menjadi komponen andalan banyak aplikasi web karena dipakai untuk mengirim request HTTP dengan cara yang sederhana dan stabil. Popularitas itu membuat serangan terhadap paket ini berdampak luas, terlebih Axios diunduh sekitar 100 juta kali per pekan di npm.
Bagaimana serangan terjadi
Penyerang dilaporkan mengambil alih akun npm milik salah satu maintainer utama Axios. Dari akun itu, paket berbahaya kemudian dipublikasikan langsung ke registry npm di luar alur CI/CD resmi proyek.
Dalam waktu yang singkat, dua cabang rilis disusupi sekaligus. Rilis modern 1.x dan rilis lama 0.x sama-sama mendapat versi berbahaya, sehingga jangkauan potensi korban menjadi lebih besar.
Data dari StepSecurity menunjukkan serangan berlangsung secara terencana. Berikut urutan penting yang terungkap dari analisis tersebut:
- Akun npm penyerang menerbitkan versi decoy plain-crypto-js pada 05:57 UTC, untuk membangun riwayat publikasi.
- Versi payload berbahaya plain-crypto-js kemudian muncul pada 23:59 UTC.
- Akun maintainer Axios yang telah dikompromikan merilis axios@1.14.1 pada 00:21 UTC.
- axios@0.30.4 menyusul pada 01:00 UTC, hanya terpaut 39 menit.
Trojan tersembunyi di dalam dependency palsu
Kunci serangan ini ada pada dependency baru bernama plain-crypto-js@4.2.1. Nama paket itu dibuat mirip dengan library crypto-js yang sah agar tampak wajar di mata pengembang maupun sistem otomasi.
Masalahnya, dependency itu tidak pernah dipanggil di source code Axios. Paket tersebut hanya berfungsi sebagai pemicu script postinstall yang berjalan saat npm install dijalankan, lalu menghubungi server command-and-control di sfrclak.com.
Menurut StepSecurity, koneksi pertama ke server C2 muncul hanya 1,1 detik setelah proses instalasi dimulai. Dari sana, malware mengunduh payload RAT yang sesuai dengan sistem operasi korban, lalu menghapus jejak eksekusinya sendiri.
Perilaku malware di tiap sistem
StepSecurity melaporkan perilaku yang berbeda pada masing-masing platform. Pola ini menunjukkan penyerang memang menyiapkan payload yang fleksibel agar bisa bekerja di berbagai lingkungan pengembangan.
| Sistem operasi | Aksi malware |
|---|---|
| macOS | Menulis binary RAT ke /Library/Caches/com.apple.act.mond |
| Windows | Menyalin PowerShell ke %PROGRAMDATA%\wt.exe dan menjalankan skrip tersembunyi |
| Linux | Mengunduh RAT berbasis Python ke /tmp/ld.py |
Setelah berjalan, file setup.js menghapus dirinya sendiri. File package.json yang memuat hook berbahaya juga dihapus, lalu diganti dengan stub bersih yang menampilkan nomor versi berbeda.
Mengapa insiden ini berbahaya
Cara kerja malware ini membuat pemeriksaan forensik menjadi sulit. Ketika paket sudah selesai diinstal, tampilan akhirnya tidak lagi menunjukkan komponen mencurigakan yang aktif sebelumnya.
Itu berarti sistem yang pernah menjalankan versi berbahaya harus diperlakukan sebagai perangkat yang sudah sepenuhnya terkompromi. StepSecurity, Snyk, Wiz, dan Vercel sama-sama merekomendasikan rotasi seluruh kredensial yang pernah digunakan di lingkungan tersebut.
Langkah yang disarankan untuk tim pengembang
Tim keamanan dan pengembang umumnya diminta melakukan beberapa langkah berikut setelah insiden supply chain semacam ini terdeteksi:
- Hentikan penggunaan versi Axios yang terdampak.
- Lakukan audit dependency di seluruh proyek dan pipeline build.
- Periksa log instalasi paket untuk mencari aktivitas postinstall yang tidak wajar.
- Ganti semua credential, token, dan secret yang mungkin tersentuh sistem terdampak.
- Pantau endpoint, proses, dan file sistem untuk mendeteksi jejak RAT.
Kasus ini juga memperlihatkan bahwa serangan tidak selalu menyasar aplikasi akhir, tetapi justru rantai distribusi perangkat lunak yang dipakai pengembang setiap hari. Saat paket populer seperti Axios dibajak, satu akun yang disusupi bisa membuka jalan bagi penyebaran malware ke banyak lingkungan kerja dalam hitungan menit, bahkan sebelum komunitas sempat bereaksi.
