axios terkena serangan rantai pasokan: dua versi baru memperkenalkan dependensi berbahaya, disarankan segera lakukan rollback

Berdasarkan pemantauan 1M AI News, tim riset Socket dari perusahaan keamanan rantai pasok hari ini mengungkapkan bahwa library permintaan HTTP JavaScript yang banyak digunakan, axios, mengalami serangan rantai pasok. Dua versi yang baru dirilis (v1.14.1 dan v0.30.4) sama-sama berisi dependensi berbahaya, dan kedua versi tersebut tidak muncul dalam riwayat GitHub Release resmi axios, yang menyimpang dari proses rilis normal proyek tersebut.

Kedua versi tersebut menghadirkan paket berbahaya plain-crypto-js@4.2.1. Paket berbahaya itu dirilis pada 30 Maret pukul 23:59:12 UTC, dan deteksi otomatis Socket menandainya sekitar 6 menit kemudian. Socket menyatakan bahwa waktu tersebut sangat berdekatan dengan peluncuran versi baru axios, yang menunjukkan bahwa dependensi berbahaya tersebut dikoordinasikan untuk dimasukkan bersama rilis axios. Akun npm yang terkait dengan paket berbahaya tersebut adalah jasonsaayman; Socket mengatakan hal ini memunculkan kekhawatiran tentang “rilis tanpa otorisasi atau akun yang telah disusupi.”

Socket menyarankan pengembang untuk segera memeriksa apakah dependensi dan lockfile proyek mereka berisi axios@1.14.1, axios@0.30.4, atau plain-crypto-js@4.2.1; jika ditemukan, lakukan rollback segera ke versi yang telah diketahui aman. Kejadian ini masih terus diselidiki.