۱۴۴ بسته MastraNpm هک شدند

۱۴۴ بسته npm Mastra مورد نفوذ قرار گرفتند

یک حمله بزرگ زنجیره تأمین (supply chain attack) اکوسیستم JavaScript را هدف قرار داد. مهاجمان یک حساب مشارکت‌کننده npm به نام ehindero را تسخیر کردند. آن‌ها از این دسترسی برای انتشار به‌روزرسانی‌های مخرب در ۱۴۴ بسته تحت فضای نام @mastra استفاده کردند.

Mastra یک فریم‌ورک محبوب برای ساخت برنامه‌های هوش مصنوعی است. این نقض امنیتی، محصولات هوش مصنوعی را در معرض خطر بالایی قرار می‌دهد.

نحوه عملکرد حمله:

• مهاجمان با سرقت اطلاعات کاربری یا استفاده از فیشینگ، یک حساب مشارکت‌کننده را تسخیر کردند.
• آن‌ها با استفاده از مجوزهای قانونی حساب، بررسی‌های کد (code reviews) را دور زدند.
• آن‌ها کدهای آلوده را مستقیماً در کتابخانه‌های مورد اعتماد منتشر کردند.
• کاربران پایین‌دستی در حین نصب یا به‌روزرسانی، به‌طور خودکار این کد مخرب را دریافت کردند.

خطرات برای برنامه‌های هوش مصنوعی شما:

• سرقت کلیدهای API و اطلاعات حساس کاربری.
• تغییر در رفتار مدل‌های هوش مصنوعی برای تولید خروجی‌های ناایمن.
• اجرای کدهای مخرب در خط لوله‌های CI/CD یا محیط‌های ابری شما.

آنچه اکنون باید انجام دهید:

• وابستگی‌های خود را بررسی کنید. برای یافتن بسته‌های آسیب‌دیده، دستور npm ls | grep "@mastra/" را اجرا کنید.
• آسیب‌پذیری‌های شناخته‌شده را بررسی کنید. از npm audit یا اسکنرهای شخص ثالث استفاده کنید.
• نسخه‌ها را ثابت (Pin) نگه دارید. از کاراکترهای Wildcard استفاده نکنید. فایل package.json خود را مجبور کنید تا از یک نسخه امن و شناخته‌شده استفاده کند.
• بسته‌های آسیب‌دیده را فوراً حذف کنید.

امنیت در دنیای متن‌باز (open source) به امنیت حساب‌های کاربری وابسته است. یک حساب تسخیر شده می‌تواند هزاران پروژه را آلوده کند. با اعمال احراز هویت چندعاملی و انجام بررسی‌های منظم وابستگی‌ها، از زنجیره تأمین خود محافظت کنید.

همین امروز وابستگی‌های خود را بررسی کنید.

منبع: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif

انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi