𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

𝟭૪૪ Mastra npm પેકેજો સાથે છેતરપિંડી કરવામાં આવી

JavaScript ઇકોસિસ્ટમ પર એક મોટો સપ્લાય ચેઇન હુમલો થયો છે. હુમલાખોરોએ ehindero નામના npm કન્ટ્રીબ્યુટર એકાઉન્ટ પર કબજો કરી લીધો હતો. તેમણે આ એક્સેસનો ઉપયોગ @mastra નેમસ્પેસ હેઠળના 144 પેકેજોમાં હાનિકારક અપડેટ્સ પ્રકાશિત કરવા માટે કર્યો હતો.

Mastra એ AI એપ્લિકેશન્સ બનાવવા માટેનું એક લોકપ્રિય ફ્રેમવર્ક છે. આ સુરક્ષા ભંગ AI ઉત્પાદનોને ઉચ્ચ જોખમમાં મૂકે છે.

હુમલો કેવી રીતે થયો:

• હુમલાખોરોએ ક્રેડેન્શિયલ્સ ચોરી કર્યા અથવા કન્ટ્રીબ્યુટર એકાઉન્ટ પર કબજો કરવા માટે ફિશિંગનો ઉપયોગ કર્યો.
• તેમણે કાયદેસરના એકાઉન્ટ પરમિશનનો ઉપયોગ કરીને કોડ રિવ્યુને બાયપાસ કર્યો.
• તેમણે સીધા જ વિશ્વસનીય લાઇબ્રેરીઓમાં હાનિકારક કોડ પ્રકાશિત કર્યો.
• ડાઉનસ્ટ્રીમ વપરાશકર્તાઓએ ઇન્સ્ટોલેશન અથવા અપગ્રેડ દરમિયાન આ હાનિકારક કોડ આપમેળે મેળવી લીધો.

તમારી AI એપ્લિકેશન્સ માટેના જોખમો:

• API કી અને સંવેદનશીલ ક્રેડેન્શિયલ્સની ચોરી.
• અસુરક્ષિત આઉટપુટ આપવા માટે AI મોડેલના વર્તનમાં ફેરફાર.
• તમારા CI/CD પાઇપલાઇન્સ અથવા ક્લાઉડ એન્વાયરમેન્ટ્સમાં હાનિકારક કોડ ચાલવો.

તમારે અત્યારે શું કરવું જોઈએ:

• તમારા ડિપેન્ડન્સીઝનું ઓડિટ કરો. અસરગ્રસ્ત પેકેજો શોધવા માટે npm ls | grep "@mastra/" રન કરો.
• જાણીતી નબળાઈઓ (vulnerabilities) માટે તપાસો. npm audit અથવા થર્ડ-પાર્ટી સ્કેનર્સનો ઉપયોગ કરો.
• તમારા વર્ઝનને પિન કરો. વાઇલ્ડકાર્ડ્સનો ઉપયોગ કરશો નહીં. તમારા package.json ને જાણીતા સુરક્ષિત વર્ઝનનો ઉપયોગ કરવા માટે મજબૂર કરો.
• compromised પેકેજોને તરત જ દૂર કરો.

ઓપન સોર્સમાં સુરક્ષા એકાઉન્ટની સુરક્ષા પર આધારિત છે. એક જ compromised એકાઉન્ટ હજારો પ્રોજેક્ટ્સને બગાડી શકે છે. મલ્ટી-ફેક્ટર ઓથેન્ટિકેશન લાગુ કરીને અને નિયમિત ડિપેન્ડન્સી ઓડિટ કરીને તમારી સપ્લાય ચેઇનને સુરક્ષિત કરો.

આજે જ તમારી ડિપેન્ડન્સીઝ તપાસો.

સ્ત્રોત: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif

વૈકલ્પિક લર્નિંગ કોમ્યુનિટી: https://t.me/GyaanSetuAi