← Kembali ke Blog
Keamanan DigitalAxiosMalwareVulnerability

Package NPM Axios Dikompromikan

Kiyomi FujiwaraKiyomi Fujiwara01 April 2026
Package NPM axios dikompromikan

Apa yang Terjadi?

Pada akhir Maret 2026, pengguna dan pengelola proyek npm dikejutkan oleh insiden besar: dua versi populer paket HTTP client yaitu "axios"—versi 1.14.1 dan 0.30.4—ditemukan telah dikompromikan dan disusupi kode berbahaya.

Kedua versi tersebut segera ditandai sebagai malicious oleh komunitas open source dan pihak keamanan.

Modus dan Akibatnya

Versi yang terkompromi ini menyisipkan kode berbahaya yang berfungsi sebagai Remote Access Trojan (RAT). Tujuan utamanya adalah mencuri informasi sensitif dari sistem yang menjalankan kode tersebut, seperti:

  • Variabel lingkungan (environment variables)
  • Kredensial API
  • Data rahasia lainnya.

Dengan kata lain, jika aplikasi kalian secara otomatis update atau install axios versi tersebut, maka sistem developer, CI/CD, bahkan server produksi bisa diambil alih sepenuhnya oleh penyerang!

Efek Domino yang Ditimbulkan

Serangan ini disebut sebagai Supply Chain Attack. Ini sangat berbahaya karena:

  • Data pengguna & environment secrets bisa bocor.
  • API key & token berisiko diambil alih.
  • Sistem bisa dijadikan alat serangan lanjutan (pivoting).
  • Kerugian reputasi serta downtime sangat mungkin terjadi.

Bagaimana Itu Bisa Terjadi?

Dugaan kuat, akun salah satu maintainer axios berhasil diretas. Penyerang lalu mengunggah versi baru yang telah dimodifikasi ke registry npm tanpa persetujuan komunitas. Parahnya, setelah malware tertanam, beberapa upaya pelaporan dan penghapusan issue di GitHub juga sempat terjadi—mengindikasikan adanya kendali di akun resmi.

Siapa Saja yang Terdampak?

  • Developer: Jika menggunakan ^1.14.1 atau ^0.30.4 pada file package.json atau mengatur auto-update.
  • Perusahaan/Startup: CI/CD pipeline yang tidak membekukan versi paket (lockfile) sangat rentan.
  • Pengguna Aplikasi: Data dan keamanan tergantung dari keamanan aplikasi yang dipakai.

"Kasus axios ini mengingatkan kita pada pentingnya keamanan rantai pasok (supply chain security) dalam pengembangan software modern di masa yang sekarang ini." — Kiyomi Fujiwara

Tindakan yang Harus Segera Dilakukan

Jika Anda mengelola proyek JavaScript/Node.js, lakukan langkah-langkah ini sekarang juga:

  1. Periksa package.json dan package-lock.json: Pastikan Anda tidak menggunakan versi 1.14.1. Cek lockfile Anda untuk melihat versi sebenarnya yang terinstal.
  2. Paksa Pembaruan/Downgrade: Segera ubah versi Axios ke versi aman yang lebih lama (misal: 1.14.0) atau versi perbaikan yang lebih baru jika sudah tersedia.
bash
npm install axios@1.14.0
# atau
yarn add axios@1.14.0
# atau
pnpm add axios@1.14.0
# atau
bun add axios@1.14.0
  1. Rotasi Kredensial (Sangat Penting!): Asumsikan semua Environment Variables (.env) Anda telah bocor. Segera lakukan rotasi/ganti diantaranya seperti API Keys (AWS, Stripe, OpenAI, dll.), Database Credentials, Kunci Enkripsi, Kredensial npm atau GitHub.
  2. Periksa Server/CI/CD: Periksa log server dan log CI/CD pipeline untuk aktivitas mencurigakan yang keluar (egress traffic) ke alamat IP yang tidak dikenal.

Kesimpulan

Kejadian ini menjadi peringatan keras bagi kita semua mengenai keamanan rantai pasok perangkat lunak (software supply chain security).

Tips Keamanan ke Depan

  • Gunakan lockfile: Jangan izinkan update otomatis pada dependensi critical tanpa tinjauan manual.
  • Pantau Security Advisory: Aktifkan notifikasi untuk security vulnerability pada GitHub/NPM.
  • Audit rutin dependensi: Gunakan tool seperti npm audit atau SCA lainnya.
  • Aktifkan 2FA: Wajibkan 2FA untuk semua akun maintainer dan akses registry/public package.

Penutup

Kasus kompromi axios ini adalah pengingat brutal bahwa serangan supply chain bisa menimpa proyek apapun, kapanpun. Lindungi projek dan user kalian mulai hari ini—karena satu celah bisa jadi pintu bagi bencana besar di kemudian hari.

Referensi

Lihat referensi resmi ↗
Package NPM Axios Dikompromikan | Discord ID Blog | Discord ID