𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺-𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗸𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘁𝘁𝗶𝗲𝗿𝘁
Ein schwerwiegender Supply-Chain-Angriff hat das JavaScript-Ökosystem getroffen. Angreifer haben ein npm-Mitwirkenden-Konto namens ehindero gekapert. Sie nutzten diesen Zugriff, um bösartige Updates für 144 Pakete unter dem @mastra-Namespace zu veröffentlichen.
Mastra ist ein beliebtes Framework für die Entwicklung von KI-Anwendungen. Diese Sicherheitslücke setzt KI-Produkte einem hohen Risiko aus.
So funktionierte der Angriff:
- Angreifer stahlen Anmeldedaten oder nutzten Phishing, um ein Konto eines Mitwirkenden zu übernehmen.
- Sie umgingen Code-Reviews, indem sie legitime Berechtigungen des Kontos nutzten.
- Sie veröffentlichten manipulierten Code direkt in vertrauenswürdigen Bibliotheken.
- Nachgelagerte Nutzer luden diesen bösartigen Code automatisch während Installationen oder Upgrades herunter.
Risiken für Ihre KI-Anwendungen:
- Diebstahl von API-Schlüsseln und sensiblen Anmeldedaten.
- Änderungen am Verhalten von KI-Modellen, um unsichere Ergebnisse zu erzeugen.
- Bösartiger Code, der in Ihren CI/CD-Pipelines oder Cloud-Umgebungen ausgeführt wird.
Was Sie jetzt tun müssen:
- Überprüfen Sie Ihre Abhängigkeiten. Führen Sie
npm ls | grep "@mastra/"aus, um betroffene Pakete zu finden. - Suchen Sie nach bekannten Schwachstellen. Nutzen Sie
npm auditoder Scanner von Drittanbietern. - Fixieren Sie Ihre Versionen. Verwenden Sie keine Wildcards. Erzwingen Sie in Ihrer
package.json, eine bekannte sichere Version zu verwenden. - Entfernen Sie kompromittierte Pakete sofort.
Sicherheit im Open-Source-Bereich hängt von der Sicherheit der Konten ab. Ein einziges kompromittiertes Konto kann Tausende von Projekten vergiften. Schützen Sie Ihre Lieferkette, indem Sie Multi-Faktor-Authentifizierung erzwingen und regelmäßige Audits Ihrer Abhängigkeiten durchführen.
Überprüfen Sie noch heute Ihre Abhängigkeiten.
Optionale Lern-Community: https://t.me/GyaanSetuAi