Pustaka Axios diserang melalui serangan rantai pasokan, peretas mencuri token npm dan menyisipkan malware, berdampak pada sekitar 80% lingkungan cloud

Gate News melaporkan bahwa pada 2 April, perpustakaan klien HTTP JavaScript yang paling populer, Axios, mengalami serangan rantai pasokan. Penyerang mencuri token akses npm dari pemelihara utama Axios, lalu menggunakan token tersebut untuk memublikasikan dua versi berbahaya yang berisi trojan akses jarak jauh lintas platform (RAT) (axios@1.14.1 dan axios@0.30.4), dengan target mencakup sistem macOS, Windows, dan Linux. Paket berbahaya ini bertahan di registri npm selama sekitar 3 jam sebelum dihapus. Menurut data dari perusahaan keamanan Wiz, Axios diunduh lebih dari 100 juta kali setiap minggu dan digunakan di sekitar 80% lingkungan cloud dan kode. Perusahaan keamanan Huntress mendeteksi infeksi awal hanya 89 detik setelah paket berbahaya dipublikasikan, dan selama periode jendela paparan, mereka mengonfirmasi setidaknya 135 sistem telah disusupi. Perlu dicatat bahwa proyek Axios sebelumnya telah menerapkan langkah keamanan modern seperti mekanisme rilis tepercaya OIDC dan bukti pelacakan SLSA, tetapi penyerang sepenuhnya mengabaikan perlindungan tersebut. Investigasi menemukan bahwa meskipun proyek mengonfigurasi OIDC, mereka tetap mempertahankan NPM_TOKEN tradisional yang berlaku lama, dan ketika keduanya digunakan bersamaan, npm secara default memprioritaskan token tradisional, sehingga penyerang tidak perlu menembus OIDC untuk melakukan rilis.