Axios, salah satu perpustakaan JavaScript paling populer, mungkin telah disusupi dan terlibat dalam serangan dompet kripto. Serangan paket npm menjadi semakin umum, langsung menyerang proyek, pengembang, dan pengguna akhir.
Sebuah paket npm Axios dipublikasikan ke perpustakaan JavaScript resmi, dan dibatalkan hanya beberapa jam kemudian. Para ahli keamanan on-chain mencegat serangan tersebut, yang aktif selama sekitar tiga jam.
Paket npm disusupi melalui kredensial @jasonsaayman, sementara para peneliti masih mencari tanda-tanda bahwa akun tersebut telah disusupi. Paket yang terpengaruh diidentifikasi sebagai [email protected] dan [email protected].
Seperti yang dilaporkan Cryptopolitan sebelumnya, serangan npm sering menargetkan dompet kripto dan sangat berisiko bagi proyek terdesentralisasi dengan kepemilikan tim yang besar.
Apa yang terjadi dalam serangan npm Axios?
StepSecurity adalah salah satu yang pertama mengidentifikasi masalah ini. Dua versi berbahaya dari perpustakaan klien HTTP Axios dipublikasikan melalui kredensial yang disusupi dari pemelihara utama Axios, melewati jalur publikasi normal di GitHub.
Menurut StepSecurity, ini adalah serangan paling canggih terhadap paket npm top-10 yang banyak digunakan. Versi paket berbahaya menyuntikkan dependensi baru, [email protected], yang tidak diimpor dalam kode sumber axios. Dependensi tersebut menjalankan skrip pasca-instal, aktif di semua sistem operasi.
Setelah menggunakan npm, klien terinfeksi dengan dropper trojan akses jarak jauh, yang memiliki server aktif dan mengirimkan payload. Malware tersebut juga menghapus dirinya sendiri dan mengganti .json yang mencurigakan dengan versi bersih untuk menghindari deteksi.
Jenis proyek apa yang terpengaruh?
Paket npm tersebut termasuk yang paling populer, dengan hingga 100 juta unduhan mingguan. Namun, pada saat ini, tidak ada laporan tentang pergerakan kripto yang tidak sah. Sebelumnya, serangan npm menyebabkan kerugian kripto hanya $1.000 dari token yang tidak jelas.
Satu-satunya cara untuk membatasi npm berbahaya adalah dengan melacak versi dan tidak mengizinkan peningkatan otomatis, atau memeriksa versi baru untuk potensi unggahan berbahaya.
Para peneliti juga menemukan dua paket berbahaya tambahan yang mengirimkan payload dengan cara yang sama – @shadanai/openclaw dan @qqbrowser/openclaw-qbot. Serangan ini mengikuti injeksi kode berbahaya LiteLLM hanya dalam seminggu.
Tidak ada laporan tentang proyek Web3 atau OpenClaw yang terpengaruh atau kripto yang dicuri, selama durasi serangan. Namun, peringatan dikeluarkan bahwa serangan npm sekarang mungkin menjadi norma, baik melalui kredensial yang dicuri atau penerbit yang tidak sah. Ancaman ini mengikuti peringatan sebelumnya tentang kode berbahaya yang menggunakan platform keterampilan OpenClaw.
Paket-paket tersebut tidak terbatas pada proyek Web3 atau bot, dan dapat mempengaruhi payload apa pun yang terhubung dengan dompet kripto. Hilangnya kepercayaan pada npm dan instalasi pip untuk Python juga dapat mengikis kepercayaan umum pada ekosistem perpustakaan, dengan seruan untuk jalur unggah yang lebih aman.
Penggunaan agen AI juga dapat menyebabkan pengunduhan paket yang tidak pandang bulu, menyebarkan ancaman. Efek aktual pada dompet kripto mungkin tidak langsung, tetapi mereka masih berpotensi mengekspos data dompet.
Bank Anda menggunakan uang Anda. Anda mendapatkan sisanya. Tonton video gratis kami tentang menjadi bank Anda sendiri
Sumber: https://www.cryptopolitan.com/supply-chain-attack-axios-crypto-wallets/
