00:00:00Ini mungkin salah satu pelanggaran rantai pasokan NPM terbesar yang pernah kita lihat,
00:00:03dan tidak, ini bukan April Mop, ini hanya waktu yang buruk dan orang-orang perlu menyadari hal ini.
00:00:07Ini terjadi pada paket Axios, klien HTTP tersebut telah diinstal 101 juta kali minggu ini
00:00:13dan memiliki lebih dari 174.000 dependen. Jadi, ini sudah berdampak pada paket seperti Datadog,
00:00:18OpenClaw, dan WordPress, dan ini juga telah dikaitkan dengan peretas Korea Utara.
00:00:22Jadi, mari kita langsung masuk dan melihat apa yang terjadi.
00:00:29Inilah ceritanya, pada 31 Maret 2026, seorang penyerang menyusup ke akun NPM
00:00:34milik pengelola utama Axios dan merilis dua versi backdoor, versi 1.14.1 yang
00:00:39ditandai sebagai rilis terbaru dan juga versi 0.30.4 yang ditandai sebagai warisan.
00:00:44Dalam paket-paket ini, mereka menyisipkan dependensi bayangan bernama plaincryptojs
00:00:48yang pada dasarnya hanyalah paket crypto.js normal tetapi dengan satu modifikasi kecil,
00:00:52yaitu skrip pasca-instalasi bernama setup.js. Itu berarti setiap orang dan setiap CI yang menginstal
00:00:58paket-paket yang disusupi ini juga menjalankan skrip tersebut. Skrip itu sendiri berisi
00:01:02kode yang dikaburkan yang memeriksa sistem operasi apa yang Anda gunakan lalu menghubungkan ke server
00:01:07untuk mengunduh payload kedua yang relevan dengan sistem operasi Anda. Jadi tidak ada
00:01:12yang aman dari serangan ini dan mereka bahkan memastikan bahwa payload Mac OS
00:01:16berfungsi di Mac berbasis Intel maupun Apple. Dan payload kedua inilah yang sangat buruk,
00:01:20ini adalah RAT atau trojan akses jarak jauh dan cara kerjanya hampir sama di semua
00:01:25sistem operasi. Pertama, ia akan memindai file Anda, memeriksa dokumen, desktop,
00:01:29dan folder konfigurasi, bahkan versi Windows memindai OneDrive, AppData, dan setiap
00:01:33partisi drive yang Anda miliki di sistem, lalu mengirim daftar file tersebut kembali ke server
00:01:38mungkin agar mereka bisa memeriksa apakah ada sesuatu yang layak dicuri. Setelah itu, ia akan mulai
00:01:42mengirim sinyal beacon; setiap 60 detik ia menghubungi server dengan hostname, username, sistem operasi,
00:01:47zona waktu, model perangkat keras, dan daftar lengkap semua proses yang berjalan agar penyerang bisa melihat
00:01:52perangkat lunak apa yang Anda jalankan dan apakah Anda sedang aktif menggunakannya. Jika itu semua belum terdengar buruk,
00:01:56bagian terburuknya baru akan datang karena kapan saja penyerang dapat mengeluarkan empat perintah jarak jauh
00:02:00yang memungkinkan mereka menelusuri direktori apa pun di sistem Anda, menjalankan perintah shell atau skrip arbitrer,
00:02:05menaruh dan mengeksekusi malware tambahan, atau bahkan mematikan seluruh proses untuk menutupi jejak mereka. Faktanya,
00:02:10mereka bahkan memastikan bahwa skrip setup asli akan menghapus dirinya sendiri, lalu menghapus package.json
00:02:15yang berisi perintah pasca-instalasi dan menggantinya dengan versi bersih agar
00:02:19sesulit mungkin untuk dideteksi. Jadi Anda bisa melihat peretasan ini sangat buruk dan dirancang untuk
00:02:23menargetkan workstation pengembang dan runner CI/CD untuk mencari segala jenis rahasia seperti file .env,
00:02:28token NPM, kunci SSH, dan apa pun, dan setiap sistem yang mengeksekusi payload berbahaya ini
00:02:34harus diperlakukan sebagai skenario pencurian kredensial penuh. Selain semua ini, ada juga
00:02:38misteri tentang bagaimana akun NPM tersebut bisa disusupi. Pengelola mencatat ia telah mengaktifkan autentikasi dua faktor
00:02:43dan pipeline GitHub Action miliknya juga mengaktifkan autentikasi. Jadi yang tampaknya terjadi adalah
00:02:47paket-paket tersebut diterbitkan menggunakan NPM CLI menggunakan token akses NPM yang berumur panjang. Pertanyaan berikutnya
00:02:53adalah bagaimana mereka mendapatkan akses ke token itu, dan pengelola bahkan berpikir bahwa seseorang mungkin
00:02:56mendapatkan kode pemulihan akunnya, tetapi bagaimana mereka melakukannya masih menjadi misteri untuk saat ini. Jika Anda ingin
00:03:01melihat apakah Anda terkena dampaknya, pastikan untuk mencari di file lock Anda untuk versi Axios yang terdampak
00:03:04serta paket plaincryptojs dan juga cari di node_modules Anda untuk
00:03:09paket itu sendiri. Jika Anda menemukannya, sayangnya itu adalah kabar buruk. Anda juga bisa memeriksa
00:03:14sistem Anda untuk beberapa artefak RAT dan saya akan menyertakan laporan lengkapnya di tautan bawah agar Anda bisa mengikuti
00:03:18langkah-langkahnya serta tahu apa yang harus dilakukan jika Anda telah disusupi. Di masa depan, ada juga beberapa
00:03:22langkah yang bisa diambil untuk mencegah serangan ini, dan yang pertama adalah selalu commit file lock Anda
00:03:26dan pastikan Anda menggunakan perintah "npm ci" alih-alih perintah "npm install" di pipeline Anda.
00:03:31Anda juga perlu memastikan memiliki batas usia minimum pada manajer paket Anda untuk memastikan bahwa
00:03:35paket setidaknya berusia 48 jam sebelum diinstal dengan harapan paket berbahaya apa pun
00:03:39tertangkap tepat waktu, karena kasus Axios ini sebenarnya ditemukan dan dihapus tiga jam kemudian. Terakhir,
00:03:44jika memungkinkan, gunakan saja flag ignore-scripts saat Anda menjalankan npm install atau gunakan manajer paket
00:03:48seperti Bun yang secara default memblokir semua skrip pasca-instalasi dan hanya menjalankannya pada
00:03:53dependensi yang Anda cantumkan secara spesifik sebagai tepercaya. Saya harap ini adalah serangan terbesar yang
00:03:57kita lihat tahun ini, tetapi kita pasti akan melihat lebih banyak lagi, jadi pastikan Anda tetap aman
00:04:01di luar sana dan beri tahu saya apa pendapat Anda tentang semua ini di kolom komentar di bawah
00:04:04atau tekan tombol subscribe dan seperti biasa, sampai jumpa di video berikutnya.