Keuangan.id – 04 April 2026 | Pengembang JavaScript di seluruh dunia dikejutkan pada awal April 2026 ketika paket axios—salah satu library HTTP paling populer dengan lebih dari 300 juta unduhan mingguan—terbukti menjadi vektor serangan rantai pasokan yang sangat terorganisir. Selama tiga jam, dua versi paket (axios@1.14.1 dan axios@0.30.4) mengandung Remote Access Trojan (RAT) yang dapat menginfeksi sistem Windows, macOS, dan Linux. Penyerang menargetkan maintainer utama, Jason Saayman, melalui kampanye rekayasa sosial (social engineering) yang dipimpin oleh kelompok ancaman asal Korea Utara yang dikenal sebagai UNC1069.
Modus Operandi yang Terperinci
Serangan dimulai ketika pelaku menyamar sebagai pendiri sebuah perusahaan teknologi ternama. Mereka meniru foto, logo, dan identitas digital sang pendiri, lalu mengundang Saayman ke sebuah ruang kerja Slack yang tampak resmi dan terintegrasi dengan identitas perusahaan tersebut. Slack tersebut dilengkapi dengan saluran yang menampilkan postingan LinkedIn palsu, menciptakan ilusi kolaborasi yang sah.
Setelah membangun kepercayaan, pelaku menjadwalkan pertemuan daring melalui Microsoft Teams. Pada saat pertemuan berlangsung, Saayman disajikan sebuah pesan kesalahan palsu yang menyatakan bahwa sistemnya “out of date”. Pesan tersebut memicu dialog yang mengarahkan korban untuk mengunduh dan menjalankan komponen pembaruan yang pada kenyataannya adalah RAT. Setelah terpasang, malware memberikan akses jarak jauh kepada penyerang, memungkinkan mereka mencuri kredensial npm dan mempublikasikan paket berbahaya.
Strategi Penyisipan Malware dalam Paket
Alih-alih memodifikasi kode inti axios, penyerang menambahkan dependensi baru bernama plain-crypto-js@4.2.1. Dependensi ini menjalankan skrip postinstall yang otomatis dieksekusi saat pengguna menjalankan npm install. Skrip tersebut mengunduh payload khusus platform dan berkomunikasi dengan server kontrol di sfrclak.com:8000. Setelah menginstal RAT, skrip menghapus jejaknya dari node_modules, sehingga paket tampak bersih.
Dampak dan Lingkup Penyebaran
Dengan lebih dari 100 juta unduhan per minggu, paket axios berada di inti ribuan proyek front‑end dan back‑end. Meskipun paket berbahaya hanya tersedia selama tiga jam, perkiraan kasar menunjukkan bahwa jutaan instalasi dapat terinfeksi, terutama pada sistem yang melakukan instalasi otomatis melalui CI/CD pipeline. Penyerang juga berpotensi mencuri rahasia seperti token GitHub, kredensial npm, dan kunci API yang tersimpan dalam file konfigurasi proyek.
Langkah-Langkah Mitigasi yang Diberikan Maintainer
- Segera downgrade ke versi
axios@1.14.0(atau0.30.3untuk rentang 0.x). - Hapus direktori
node_modules/plain-crypto-jsdari semua mesin pengembangan dan server build. - Reset semua kredensial npm, termasuk token akses pribadi, dan aktifkan autentikasi berbasis OpenID Connect (OIDC) untuk publikasi paket.
- Implementasikan rilis yang tidak dapat diubah (immutable releases) dan verifikasi SHA256 pada semua dependensi.
- Audit log jaringan untuk koneksi ke
sfrclak.comatau alamat IP terkait pada port 8000. - Perbarui workflow GitHub Actions: hindari pemicu
pull_request_target, tautkan aksi eksternal ke hash commit tertentu, dan aktifkan CodeQL untuk mendeteksi skrip berbahaya.
Reaksi Komunitas dan Penyedia Platform
GitHub merespons insiden dengan mempercepat rencana pengamanan repositori, termasuk dukungan penuh OIDC untuk npm, Docker Hub, dan paket lain. Selain itu, mereka memperkenalkan “immutable releases” yang tidak dapat di‑override bahkan jika tag rilis di‑hapus. Penyedia keamanan seperti Huntress dan Kaspersky menegaskan bahwa taktik yang dipakai UNC1069 serupa dengan operasi “GhostCall” sebelumnya, di mana pesan pop‑up menyerupai pembaruan Zoom atau Teams memicu eksekusi skrip PowerShell atau AppleScript.
Peneliti keamanan Taylor Monahan menyoroti pergeseran target dari pendiri kripto ke pemelihara proyek open‑source, menandakan evolusi ancaman yang lebih berbahaya. “Mereka menyasar pemelihara OSS untuk mencapai rantai pasokan yang lebih luas,” ujarnya.
Pelajaran bagi Pengembang dan Organisasi
Kasus ini menegaskan pentingnya verifikasi identitas dalam komunikasi daring, terutama saat melibatkan akses administratif atau instalasi perangkat lunak. Penggunaan 2FA saja tidak cukup bila endpoint telah terinfeksi. Organisasi harus mengadopsi prinsip “least privilege”, memisahkan mesin pengembangan dari kredensial produksi, serta memantau anomali jaringan secara real‑time.
Selain itu, praktik pengelolaan dependensi harus melibatkan pemeriksaan hash, penggunaan registri yang mendukung OIDC, serta pembatasan publikasi paket hanya pada akun dengan kontrol akses yang ketat. Penggunaan alat otomatisasi seperti CodeQL, Dependabot, atau Snyk dapat membantu mendeteksi perubahan tak terduga pada skrip instalasi.
Serangan terhadap axios menjadi peringatan keras bahwa ekosistem JavaScript, dengan model dependensi yang sangat terhubung, tetap menjadi sasaran utama bagi aktor negara‑bintang. Keamanan rantai pasokan tidak dapat lagi dianggap sebagai tambahan, melainkan sebagai fondasi utama dalam pengembangan perangkat lunak modern.
