𝟭𝟰𝟰 𝗽𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗻𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀
Une attaque majeure de la chaîne d'approvisionnement logicielle vient de frapper l'écosystème JavaScript.
Des attaquants ont détourné un seul compte de contributeur npm. Ils ont utilisé cet accès pour publier des mises à jour malveillantes sur 144 packages différents sous l'espace de noms @mastra.
Mastra est un framework populaire pour la création d'applications d'IA. Cela signifie que le risque se propage directement dans les outils d'IA que vous développez et utilisez.
L'attaque, connue sous le nom de easy-day-js, fonctionne en empoisonnant des bibliothèques de confiance. Comme l'attaquant disposait de permissions au niveau du compte, il a contourné les processus de révision habituels. Lorsque vous lancez une installation ou une mise à jour, vous pourriez importer du code malveillant à votre insu.
Les risques incluent :
- Vol de vos clés API et de vos identifiants.
- Modification du comportement de vos modèles d'IA.
- Accès à vos pipelines CI/CD.
- Déplacement latéral à travers vos environnements cloud.
Vous devez agir rapidement pour protéger vos projets. Suivez ces étapes :
Auditez vos dépendances immédiatement. Exécutez cette commande pour trouver tous les packages @mastra dans votre projet : npm ls --all | grep "@mastra/"
Utilisez des scanners de sécurité. Exécutez npm audit pour vérifier les vulnérabilités connues. Utilisez des outils comme Socket ou JFrog pour surveiller les alertes en temps réel.
Fixez vos versions. N'utilisez pas de caractères génériques dans votre package.json. Verrouillez vos dépendances sur une version spécifique et sûre pour empêcher les mises à jour automatiques vers du code empoisonné.
Renouvelez vos identifiants. Si vous soupçonnez une brèche, changez vos clés et vos secrets immédiatement.
Imposez la 2FA. Si vous gérez des packages npm, utilisez l'authentification multi-facteurs pour tous les comptes de contributeurs.
Le modèle de confiance de l'open source est fragile. Un seul compte compromis peut impacter des milliers de développeurs. N'attendez pas. Vérifiez votre arbre de dépendances dès aujourd'hui.