Berita Hari Ini – 01 April 2026 | Komunitas pengembang perangkat lunak dunia dikejutkan pada akhir pekan lalu ketika sebuah paket npm bernama Axios—klien HTTP yang dipakai oleh lebih dari 80 juta instalasi mingguan—terbukti telah disusupi kode berbahaya. Penyerang tidak hanya berhasil memodifikasi versi paket resmi, melainkan juga menambahkan dependensi berbahaya yang secara otomatis dijalankan saat instalasi, membuka pintu bagi akses jarak jauh ke sistem korban.
Latar Belakang Axios
Axios, atau Axios NPM, merupakan perpustakaan JavaScript open‑source yang memungkinkan aplikasi berkomunikasi dengan server melalui protokol HTTP. Karena kemudahan penggunaan dan kompatibilitas lintas platform, paket ini menjadi pilihan utama dalam pengembangan aplikasi web, mobile, bahkan layanan backend. Proyek ini dikelola secara kolaboratif di GitHub oleh kontributor sukarela, bukan oleh satu entitas perusahaan tunggal, sehingga akses ke akun maintainer menjadi titik lemah potensial.
Detail Serangan
Menurut laporan beberapa perusahaan keamanan siber, penyerang berhasil meretas akun GitHub salah satu pengelola utama Axios. Dengan kredensial tersebut mereka mempublikasikan dua versi paket yang telah diubah, yakni axios@1.14.1 dan axios@0.30.4. Kedua versi tersebut menyertakan dependensi baru bernama plain-crypto-js@4.2.1, sebuah paket yang mengandung trojan remote‑access. Skrip post‑install pada paket ini mengeksekusi kode berbahaya tanpa interaksi pengguna, memungkinkan pencurian kredensial, kunci API, hingga data dompet kripto.
Dampak pada Pengguna dan Industri
Peneliti senior di Huntress, John Hammond, memperingatkan bahwa ancaman ini bersifat luas karena Axios terintegrasi dalam ribuan proyek, termasuk layanan keuangan, platform e‑commerce, dan aplikasi internal perusahaan. Sejauh ini, setidaknya 135 komputer telah teridentifikasi terinfeksi, dan perusahaan pengembang perangkat lunak di seluruh dunia melaporkan gangguan pada pipeline CI/CD mereka. Bagi aplikasi berbasis kripto, penyisipan malware berpotensi memfasilitasi pencurian dana melalui panggilan API yang dimanipulasi.
Respons Komunitas dan Langkah Mitigasi
Segera setelah penemuan, tim keamanan Socket dan OX Security mengeluarkan peringatan resmi, meminta semua pengembang yang menggunakan versi terpengaruh untuk melakukan rollback ke versi sebelumnya, menghapus plain-crypto-js, serta memutar ulang semua kredensial yang mungkin telah terkompromi. Langkah mitigasi yang disarankan meliputi:
- Periksa file
package-lock.jsonatauyarn.lockuntuk memastikan tidak ada referensi ke paket berbahaya. - Hapus atau downgrade Axios ke versi 1.13.x atau lebih rendah yang belum terkontaminasi.
- Rotasi semua API key, token sesi, dan password yang pernah diproses melalui Axios.
- Lakukan pemindaian keamanan dengan alat SAST/DAST pada repositori kode untuk mendeteksi potensi backdoor.
Komunitas open‑source pun memperketat proses review kontribusi, menambah verifikasi dua‑faktor pada akun maintainer, dan meningkatkan audit kode otomatis.
Pandangan Pakar
Abdelfattah Ibrahim, senior offensive security engineer di Hacken, menekankan bahwa “serangan supply‑chain seperti ini menggarisbawahi betapa pentingnya kepercayaan pada rantai pasokan perangkat lunak.” Ia menambahkan bahwa kerentanan serupa dapat memicu kerugian massal pada ekosistem DeFi, mengingat banyak protokol mengandalkan Axios untuk berinteraksi dengan node blockchain. Sementara itu, Jon Robertson dari Tarian Cyber menilai bahwa dampak utama bukan sekadar akses awal, melainkan luasnya “blast radius” yang dapat meluas ke infrastruktur kritis jika tidak segera diatasi.
Kasus penyusupan Axios menjadi pengingat keras bagi seluruh ekosistem pengembangan perangkat lunak bahwa keamanan rantai pasokan harus menjadi prioritas utama, bukan sekadar perlindungan perimeter. Dengan ribuan proyek yang bergantung pada satu paket open‑source, kegagalan satu titik dapat berakibat pada kerugian data, finansial, serta reputasi yang meluas ke seluruh dunia digital.
