NPM Tak Sengaja Hapus Paket Stylus, Ganggu Proses Build dan CI/CD Global
Platform manajemen paket JavaScript populer, NPM (Node Package Manager), dilaporkan secara tidak sengaja menghapus paket stylus, yang menyebabkan ribuan proyek open-source dan pipeline CI/CD mengalami kegagalan build sejak insiden tersebut terjadi. Paket ini merupakan salah satu dependensi lama yang masih banyak digunakan dalam ekosistem Node.js dan frontend.
Stylus: Paket Kritis di Banyak Proyek Web
stylus adalah preprocessor CSS yang telah digunakan selama lebih dari satu dekade, memungkinkan pengembang menulis gaya dengan sintaksis yang lebih bersih dan modular. Meskipun popularitasnya telah menurun dengan hadirnya SASS dan PostCSS, banyak proyek lawas — dan beberapa framework modern — masih mengandalkan stylus sebagai dependensi transisi.
Paket ini memiliki lebih dari 600.000 unduhan mingguan, menjadikannya target sensitif dalam ekosistem NPM.
Penyebab: Kesalahan Penghapusan Internal
Menurut pernyataan dari NPM, penghapusan paket stylus terjadi karena kesalahan administratif internal, di mana entri paket tersebut salah ditandai sebagai “spam” atau “abandoned” dalam proses audit otomatis. Akibatnya, seluruh versi publik dari stylus tidak dapat diakses oleh sistem build yang mengandalkannya.
Efek langsungnya:
- Proyek dengan dependensi
stylustidak bisa di-install vianpm install - Build pipeline di layanan seperti GitHub Actions, GitLab CI, dan Jenkins mengalami error
- Beberapa distribusi Linux yang menggunakan build node terpengaruh
Reaksi Komunitas dan Pemulihan
Komunitas open-source segera menyuarakan kekhawatiran, dan banyak developer melaporkan masalah di repositori proyek populer. NPM merespons dengan memulihkan versi stylus yang terdampak dalam waktu kurang dari 24 jam, namun tidak semua proyek langsung pulih karena caching dan masalah re-deploy.
Pihak NPM menyampaikan permintaan maaf dan menyatakan akan:
- Meningkatkan validasi sistem penghapusan paket otomatis
- Menambahkan perlindungan untuk paket populer dengan volume penggunaan tinggi
- Berkoordinasi lebih baik dengan pemilik paket dalam audit ke depan
Implikasi bagi Rantai Pasok Perangkat Lunak
Insiden ini memperlihatkan betapa rentannya rantai pasok software modern terhadap perubahan mendadak dalam repositori publik. Banyak perusahaan dan tim dev kini didorong untuk:
- Menyimpan cache atau mirror lokal dari dependensi penting
- Meninjau ulang kebijakan dependency dan sistem fallback
- Menggunakan lockfile (
package-lock.json) dan versi tetap (pinning) untuk menghindari ketergantungan pada versi live
Sumber: NPM accidentally removes Stylus package, breaks builds and pipelines
