𝟭𝟰𝟰 𝗽𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗱𝗲 𝗠𝗮𝘀𝘁𝗿𝗮 𝗲𝗻 𝗻𝗽𝗺 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗲𝘁𝗶𝗱𝗼𝘀
Un importante ataque a la cadena de suministro de software acaba de golpear el ecosistema de JavaScript.
Los atacantes secuestraron una única cuenta de colaborador de npm. Utilizaron este acceso para publicar actualizaciones maliciosas en 144 paquetes diferentes bajo el espacio de nombres @mastra.
Mastra es un framework popular para construir aplicaciones de IA. Esto significa que el riesgo se extiende directamente a las herramientas de IA que construyes y utilizas.
El ataque, conocido como easy-day-js, funciona mediante el envenenamiento de librerías de confianza. Debido a que el atacante tenía permisos a nivel de cuenta, logró evadir las revisiones normales. Al ejecutar una instalación o actualización, podrías descargar código malicioso sin saberlo.
Los riesgos incluyen:
- Robo de tus claves de API y credenciales.
- Alteración del comportamiento de tus modelos de IA.
- Obtención de acceso a tus pipelines de CI/CD.
- Movimiento lateral a través de tus entornos de nube.
Debes actuar rápido para proteger tus proyectos. Sigue estos pasos:
- Audita tus dependencias de inmediato. Ejecuta este comando para encontrar cualquier paquete @mastra en tu proyecto: