Serangan Axios ing NPM nyuntikake RAT lan kompromi ewu pangembang

Pustaka Axios sing populer, digunakake ing pirang-pirang proyek JavaScript kanggo nindakake panjalukan HTTP, nyathet serangan rantai pasokan sing kompromi rong versi spesifik sing diterbitake ing registri NPM. Investigadores saka StepSecurity ngenali versi 1.14.1 lan 0.30.4 minangka angkoro, diterbitake ing awal jam 31 Maret 2026. Paket kasebut nyuntikake ketergantungan palsu sing nganggo skrip instalasi sing bisa nginstal trojan akses remot ing mesin pangembang.

Kedadean kasebut mbabarake ekosistem pangembangan gedhe sing gumantung ing perpustakaan, salah sawijining sing paling diunduh ing platform kanthi luwih saka 100 yuta download saben minggu. Para panyerang ora ngganti kode inti Axios, nanging nambahake dependensi sing didhelikake sing diarani plain-crypto-js@4.2.1. Ketergantungan Essa diaktifake kanthi otomatis nalika nginstal npm, nginstal muatan khusus kanggo Windows, macOS lan Linux.

Carane akun pangopènan dikompromi

Sing tanggung jawab kanggo serangan entuk akses menyang akun NPM saka maintainer utama project, dikenali minangka jasonsaayman. Eles ngganti alamat email sing digandhengake dadiifstap@proton.melan nerbitake versi sing dikompromi kanthi manual, ngliwati aliran integrasi terus-terusan otomatis gudang ing GitHub. Versi angkoro pisanan, axios@1.14.1, dirilis watara 00:21 UTC, ngiring dening axios@0.30.4 kira-kira 39 menit mengko.

Pendekatan iki ngidini paket kasedhiya tanpa pemicu mriksa tandha utawa proses CI / CD biasa. Penyelenggara Axios nanggepi kanthi cepet nalika ditemokake, lan NPM ngilangi versi loro kasebut sajrone sawetara jam, mbatesi wektu cahya nganti udakara rong nganti telung jam.

⚡ PÈNGET – Axios npm (83M undhuhan mingguan) dikompromi, ngowahi panginstalan dadi jalur pangiriman malware.

Versi 1.14.1 lan 0.30.4 narik ketergantungan palsu sing ngeculake RAT lintas platform, banjur mbusak bukti. Published nggunakake kredensial maintainer dicolong.

🔗What…pic.twitter.com/rBTiPGZmbr

—The Hacker News (@TheHackersNews)31 Maret 2026

Rincian teknis saka malware sing disuntik

Ketergantungan palsu plain-crypto-js@4.2.1 ora diimpor ing sembarang titik ing kode Axios asli, khusus kanggo nglakokake skrip postinstall. Skrip kasebut minangka dropper trojan akses remot, nggawe kontak karo server perintah lan kontrol kanggo ngundhuh muatan tambahan sing disesuaikan karo saben sistem operasi.

Teknik obfuscation digunakake kanggo nggawe analisis langsung angel, kanthi printah didekode nalika mbukak. Após sukses instalasi, malware mbusak jejak dhewe, ngganti file package.json karo versi resik supaya ora deteksi ing pengawasan mengko folder node_modules.

• Mriksa versi sing kena pengaruh nganggo printah npm list axios nyaring 1.14.1 utawa 0.30.4
• Priksa anané folder node_modules/plain-crypto-js minangka indikator kompromi
• Telusuri artefak kayata file sauntara ing /tmp/ld.py utawa padha karo sistem liyane

Rekomendasi langkah mitigasi kanggo pangembang

Pangembang sing nginstal versi 1.14.1 utawa 0.30.4 kudu nganggep lingkungan wis kompromi lan langsung tumindak. Rekomendasi utama yaiku bali menyang versi aman sadurunge: axios@1.14.0 ing cabang paling anyar utawa axios@0.30.3 ing versi warisan.

Penting kanggo mbusak ketergantungan palsu, nindakake instalasi sing resik nganggo flag –ignore-scripts, lan muter kabeh kredensial sensitif, kalebu token NPM, kunci SSH, akses layanan awan, lan variabel lingkungan. Ing saluran pipa integrasi sing terus-terusan, kanthi permanen nggunakake parameter sing nglirwakake skrip pasca-instalasi mbantu nyegah eksekusi otomatis sing ora dikarepake.

Leia Tambem

Eceran digital nyuda regane smartphone Galaxy S25 5G kanthi bonus bank lan ijol-ijolan piranti

Resident Evil anyar Zach Cregger nglirwakake game lan fokus ing crita sing durung tau ana sadurunge karo karakter anyar

Gosip nuduhake yen Nintendo nyiapake edisi khusus Switch 2 kanthi remake saka Ocarina of Time

Dampak ing ekosistem pangembangan JavaScript

Axios minangka salah sawijining perpustakaan sing paling akeh digunakake ing ekosistem Node.js lan ing aplikasi ngarep, minangka ketergantungan langsung utawa ora langsung saka akeh proyek perusahaan lan open source. Serangan kasebut nyoroti kerentanan sing ana ing akun pangurus individu ing paket sing populer, sanajan kode inti tetep utuh.

Pakar keamanan nyathet yen cara sing digunakake nuduhake kecanggihan operasional, kanthi nyiapake ketergantungan palsu ing versi sing resik sadurunge nyuntikake muatan sing mbebayani. Strategi Essa rumit deteksi otomatis dhisikan lan tambah resiko sak wektu cendhak kang versi kasedhiya.

Pedoman kanggo mriksa lan ngresiki lingkungan sing kena pengaruh

Tim pangembang kudu mriksa log instalasi lan riwayat paket kanggo ngenali manawa versi ala wis diundhuh. Ing ngarsane folder kosong-crypto-js ing node_modules serves minangka indikator kuwat sing dropper wis kaleksanan, preduli saka penghapusan file mengko.

Sawise ngresiki, dianjurake kanggo mindhai sistem kanthi alat deteksi ancaman lan ngawasi sambungan jaringan menyang alamat sing ana gandhengane karo server kontrol. Nganyari kabijakan keamanan kanthi cepet ing repositori pribadi uga mbantu nyuda risiko sing padha ing paket liyane.

Nyegah serangan mangsa ing log paket

Kedadeyan kasebut nguatake pentinge langkah-langkah kayata otentikasi multi-faktor sing ketat ing akun penerbitan, ngawasi owah-owahan ing metadata paket, lan nganakake pemeriksaan integritas sing luwih kuat. Sistem sumber terbuka Projetos kanthi adopsi dhuwur bisa uga nimbang proses review tambahan sadurunge rilis anyar.

Pangembang lan perusahaan individu kudu prioritize pinning versi aman dikenal ing file konfigurasi project, ngindhari instalasi otomatis nganyari tanpa validasi sadurunge. Praktek Essas mbantu mbatesi permukaan serangan ing rantai pasokan piranti lunak.

Komunitas keamanan terus ngawasi kasus kasebut kanggo menehi peta kemungkinan korban lan nyaring alat deteksi. Até Ing wektu iki, ora ana laporan umum babagan eksploitasi skala gedhe, nanging rekomendasi unanimous kanggo nganggep instalasi saka versi sing kena pengaruh minangka kompromi total saka sistem kasebut.