𝟭𝟰𝟰 𝗣𝗮𝗰𝗸𝗲𝘁𝗲𝘀 𝗱𝗲 𝗠𝗮𝘀𝘁𝗿𝗮 𝗲𝗻 𝗻𝗽𝗺 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗲𝘁𝗶𝗱𝗼𝘀
Un importante ataque a la cadena de suministro afectó al ecosistema de JavaScript. Los atacantes secuestraron una cuenta de colaborador de npm llamada ehindero. Utilizaron este acceso para publicar actualizaciones maliciosas en 144 paquetes bajo el espacio de nombres @mastra.
Mastra es un framework popular para construir aplicaciones de IA. Esta brecha pone a los productos de IA en un alto riesgo.
Cómo funcionó el ataque:
- Los atacantes robaron credenciales o utilizaron phishing para tomar el control de una cuenta de colaborador.
- Evadieron las revisiones de código utilizando permisos de cuenta legítimos.
- Publicaron código malicioso directamente en librerías de confianza.
- Los usuarios finales descargaron automáticamente este código malicioso durante las instalaciones o actualizaciones.
Riesgos para sus aplicaciones de IA:
- Robo de claves de API y credenciales sensibles.
- Cambios en el comportamiento de los modelos de IA para producir resultados inseguros.
- Ejecución de código malicioso en sus pipelines de CI/CD o entornos de nube.
Qué debe hacer ahora:
- Audite sus dependencias. Ejecute
npm ls | grep "@mastra/"para encontrar los paquetes afectados. - Busque vulnerabilidades conocidas. Utilice
npm audito escáneres de terceros. - Fije sus versiones. No utilice comodines. Obligue a su
package.jsona utilizar una versión segura conocida. - Elimine los paquetes comprometidos de inmediato.
La seguridad en el código abierto depende de la seguridad de las cuentas. Una sola cuenta comprometida puede contaminar miles de proyectos. Proteja su cadena de suministro implementando la autenticación de múltiples factores y realizando auditorías de dependencias periódicas.
Revise sus dependencias hoy mismo.
Comunidad de aprendizaje opcional: https://t.me/GyaanSetuAi