اختراق 144 حزمة npm تابعة لـ Mastra
تعرض نظام JavaScript AI البيئي لهجوم كبير استهدف سلاسل توريد البرمجيات.
قام المهاجمون باختراق 144 حزمة npm تحت نطاق @mastra. وقع هذا الحدث، المعروف باسم easy-day-js، نتيجة اختطاف حساب مساهم واحد.
عندما يتم اختراق حساب موثوق، ينتشر الضرر بسرعة. سمح خرق واحد للمهاجم بنشر إصدارات خبيثة لكل حزمة رئيسية من حزم Mastra تقريبًا، مما يضع مطوري الذكاء الاصطناعي وفرق الشركات في خطر.
كيف تم الهجوم:
- سيطر المهاجم على حساب npm شرعي.
- استخدموا هذه البيانات لنشر كود خبيث عبر نطاق @mastra بالكامل.
- أصدر المهاجم 144 حزمة في تتابع سريع.
- رأت معظم الأنظمة الآلية هذه الإصدارات كتحديثات روتينية.
المخاطر عالية. يمكن للكود الخبيث سرقة مفاتيح API، أو بيانات اعتماد المطورين، أو بيانات المستخدمين. كما يمكنه أيضًا تعطيل عمليات البناء (builds) الخاصة بك أو إدخال أخطاء برمجية (bugs).
كيف تحمي مشاريعك:
- افحص التبعيات (dependencies) الخاصة بك. قم بتشغيل
npm auditلفحص شجرة التبعيات. - تحقق من سجل الإصدارات. ابحث عن أي طفرات مفاجئة في الإصدارات الجديدة.
- استخدم أدوات الفحص. تساعد أدوات مثل Socket أو JFrog في اكتشاف الأنشطة غير الطبيعية.
- استخدم ملفات القفل (lockfiles). استخدم دائمًا
package-lock.jsonأوnpm ciللحفاظ على استقرار عمليات البناء. - فرض المصادقة الثنائية (2FA). تأكد من أن جميع المساهمين يستخدمون المصادقة الثنائية.
إذا كنت تستخدم أي حزم من @mastra، فافحص إصداراتك الآن. قم بتثبيت (pin) التبعيات الخاصة بك على إصدارات آمنة ومعروفة فوراً.
يعتمد المصدر المفتوح على الثقة. يجب عليك التعامل مع كل تحديث جديد كخطر محتمل.
المصدر: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
مجتمع تعليمي اختياري: https://t.me/GyaanSetuAi