Menurut Feross Aboukhadijeh, co-founder perusahaan keamanan Socket Security, ada rantai pasokan aktif di Axios, yang merupakan salah satu paket npm yang paling banyak bergantung padanya.
NPM adalah singkatan dari Node Package Manager dan pada dasarnya merupakan registri perangkat lunak terbesar di dunia, yang menampung lebih dari dua juta paket kode JavaScript open-source. Bisa dibilang bahwa ini adalah tulang punggung pengembangan Web3 modern.
Menurut Feross, axios@1.14.1 terbaru saat ini sedang menarik plain-crypto-just@4.2.1, yaitu sebuah paket yang belum ada sebelum hari ini, yang menunjukkan bahwa ini adalah kompromi yang sedang berlangsung.
Ini adalah malware pemasang (installer) rantai pasokan yang sangat textbook. Axios memiliki unduhan mingguan 100M+. Setiap npm install yang mengambil versi terbaru berpotensi dikompromikan saat ini. Socket AI analyiss mengonfirmasi ini adalah malware. Plain-crypto-js adalah dropper/loadre yang diobfusikasi.”
Perangkat lunak berbahaya itu dapat melakukan berbagai rangkaian tindakan, termasuk menghapus dan mengganti nama artefak setelah eksekusi untuk menghancurkan bukti forensik, menyiapkan dan menyalin file payload ke direktori temp OS dan direktori Windows ProgramData, mengeksekusi perintah shell yang didekode, dan masih banyak lagi.
🚨 KRITIS: Serangan rantai pasokan aktif pada axios — salah satu paket npm yang paling banyak bergantung padanya.
axios@1.14.1 terbaru sekarang menarik plain-crypto-js@4.2.1, sebuah paket yang belum ada sebelum hari ini. Ini adalah kompromi yang sedang berlangsung.
Ini adalah malware pemasang rantai pasokan yang sangat textbook. axios…
— Feross (@feross) March 31, 2026
Sang ahli merekomendasikan agar pengembang yang menggunakan axios segera mengunci versinya (pin) dan mengaudit lockfile mereka, sambil menahan diri dari pembaruan apa pun untuk sementara waktu.
PENAWARAN KHUSUS (Eksklusif)
Binance Gratis $600 (CryptoPotato Eksklusif): Gunakan tautan ini untuk mendaftar akun baru dan terima penawaran selamat datang eksklusif sebesar $600 di Binance (detail lengkap).
PENAWARAN TERBATAS untuk pembaca CryptoPotato di Bybit: Gunakan tautan ini untuk mendaftar dan membuka posisi GRATIS $500 pada koin apa pun!
Tags:
Hacks
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
