Serangan Rantai Pasokan Axios: Malware RAT Cross-Platform via Akun npm Diretas
Axios, salah satu klien HTTP paling populer di ekosistem JavaScript, mengalami serangan rantai pasokan yang serius setelah dua versi paket npm terbarunya ditemukan menyisipkan dependensi berbahaya. Versi 1.14.1 dan 0.30.4 dari Axios tercatat menginjeksi paket palsu [email protected] yang mengandung malware.
Modus Operandi Serangan dan Dampaknya
Menurut riset dari StepSecurity, penyerang berhasil membajak akun npm utama pengelola Axios bernama "jasonsaayman". Hal ini memungkinkan mereka menerbitkan paket berbahaya dengan melewati sistem CI/CD GitHub Actions proyek tersebut tanpa terdeteksi.
"Tujuan utamanya adalah menjalankan skrip postinstall yang berfungsi sebagai remote access trojan (RAT) lintas platform, menargetkan macOS, Windows, dan Linux," ujar peneliti keamanan Ashish Kurmi. "Dropper ini menghubungi server command and control (C2) aktif dan mengirimkan payload tahap kedua yang spesifik untuk platform masing-masing. Setelah dijalankan, malware ini menghapus dirinya sendiri dan mengganti file
package.jsondengan versi bersih untuk menghindari deteksi forensik."
Axios dengan versi terinfeksi kini sudah tidak tersedia lagi di npm, begitu juga dengan paket plain-crypto-js yang berbahaya. Pengguna disarankan segera menurunkan versi Axios ke 1.14.0 atau 0.30.3 dan mengganti semua kredensial yang mungkin terpapar.
Detail Kronologi Serangan
- 30 Maret 2026, 05:57 UTC - Paket [email protected] versi bersih diterbitkan.
- 30 Maret 2026, 23:59 UTC - Versi [email protected] dengan payload berbahaya diterbitkan.
- 31 Maret 2026, 00:21 UTC - Axios 1.14.1 yang menyisipkan [email protected] diterbitkan menggunakan akun "jasonsaayman" yang diretas.
- 31 Maret 2026, 01:00 UTC - Axios 0.30.4 yang juga menyisipkan paket berbahaya diterbitkan.
Cara Kerja Malware dan Teknik Pengelabuan
Malware ini dijalankan melalui dropper Node.js yang terobfuscate bernama setup.js. Ia memilih jalur serangan berdasarkan sistem operasi target:
- macOS: Mengeksekusi AppleScript untuk mengunduh trojan biner dari server eksternal dan menjalankannya diam-diam, serta menghapus AppleScript untuk menyembunyikan jejak.
- Windows: Menyalin PowerShell ke direktori program sebagai
wt.exelalu menjalankan skrip VBScript yang mengunduh dan menjalankan RAT PowerShell, kemudian menghapus file yang diunduh. - Linux dan lainnya: Menjalankan perintah shell untuk mengunduh skrip Python RAT dan menjalankannya di latar belakang menggunakan
nohup.
Setiap platform mengirimkan permintaan POST berbeda ke URL C2 tunggal, memungkinkan server mengirim payload yang sesuai. Malware tahap kedua di macOS adalah RAT C++ yang melakukan fingerprinting sistem, mengirim sinyal ke server setiap 60 detik, dan memiliki kemampuan eksekusi perintah shell, enumerasi file, serta menjalankan payload tambahan.
Setelah payload utama dijalankan, malware membersihkan jejaknya dengan menghapus skrip postinstall dan mengganti package.json dengan file bersih yang dinamai package.md untuk mengelabui pemeriksaan forensik.
Imbauan dan Tindakan yang Harus Dilakukan Pengguna
Pengguna Axios versi berbahaya dan yang menggunakan paket terkait wajib melakukan langkah-langkah berikut:
- Periksa apakah menggunakan Axios versi 1.14.1 atau 0.30.4.
- Cari artefak malware di lokasi berikut:
/Library/Caches/com.apple.act.mond(macOS),%PROGRAMDATA%\wt.exe(Windows),/tmp/ld.py(Linux). - Turunkan versi Axios ke 1.14.0 atau 0.30.3.
- Hapus paket plain-crypto-js dari direktori
node_modules. - Jika artefak ditemukan, anggap sistem telah terkompromi dan segera ganti semua kredensial.
- Audit pipeline CI/CD untuk memastikan tidak ada instalasi versi berbahaya.
- Blokir trafik keluar ke domain C2 "sfrclak[.]com".
Temuan Tambahan dan Dampak Lebih Luas
Analisis lain dari Socket mengungkapkan dua paket tambahan yang menyebarkan malware serupa melalui dependensi yang dibundel:
- @shadanai/openclaw (beberapa versi 2026.3.28 hingga 2026.3.31) menyisipkan plain-crypto-js dalam path vendornya.
- @qqbrowser/[email protected] membawa Axios 1.14.1 yang sudah terkontaminasi dalam node_modules.
Menurut Socket, versi Axios asli hanya memiliki tiga dependensi resmi: follow-redirects, form-data, dan proxy-from-env. Penambahan plain-crypto-js jelas merupakan tanda manipulasi paket.
Analisis Redaksi
Menurut pandangan redaksi, serangan rantai pasokan terhadap Axios ini merupakan contoh sangat canggih dan terstruktur dari eksploitasi ekosistem open source. Dengan memanfaatkan akun npm pengelola, pelaku tidak hanya menyebarkan malware, tetapi juga mengelabui sistem keamanan otomatis dan proses pengembangan berkelanjutan (CI/CD). Ini menggarisbawahi pentingnya keamanan berlapis pada rantai pasokan perangkat lunak, terutama untuk proyek besar yang digunakan jutaan pengembang dan perusahaan.
Satu hal yang perlu diwaspadai adalah bagaimana malware ini dirancang untuk menghilangkan jejak secara otomatis, yang membuat deteksi pasca serangan menjadi sangat sulit dan memperbesar risiko kompromi jangka panjang. Organisasi dan developer harus segera melakukan audit dan menerapkan kebijakan rotasi kredensial rutin, serta memperketat kontrol akses terhadap akun-akun penting seperti npm.
Ke depan, tren serangan seperti ini kemungkinan akan meningkat, menargetkan paket-paket populer karena dampak luas yang dapat ditimbulkan. Masyarakat TI harus meningkatkan kesadaran dan kesiapsiagaan terhadap serangan rantai pasokan dengan memperkuat keamanan supply chain dan memantau dengan ketat setiap perubahan paket.
Untuk informasi lebih lengkap, Anda bisa membaca laporan resmi dari thehackernews.com dan mengikuti update keamanan dari sumber terpercaya seperti Cybersecurity News.
What's Your Reaction?
Like
0
Dislike
0
Love
0
Funny
0
Angry
0
Sad
0
Wow
0
