૧૪૪ Mastra npm પેકેજો સાથે છેડછાડ કરવામાં આવી
JavaScript ઇકોસિસ્ટમ પર હમણાં જ એક મોટો સોફ્ટવેર સપ્લાય ચેઇન હુમલો થયો છે.
હુમલાખોરોએ એક npm કન્ટ્રીબ્યુટર એકાઉન્ટ હાઇજેક કર્યું. તેમણે આ એક્સેસનો ઉપયોગ @mastra નેમસ્પેસ હેઠળના ૧૪૪ અલગ-અલગ પેકેજોમાં હાનિકારક (malicious) અપડેટ્સ પ્રકાશિત કરવા માટે કર્યો.
Mastra એ AI એપ્લિકેશન્સ બનાવવા માટેનું એક લોકપ્રિય ફ્રેમવર્ક છે. આનો અર્થ એ છે કે આ જોખમ સીધું જ તમે બનાવેલા અને ઉપયોગમાં લેતા AI ટૂલ્સમાં ફેલાઈ જાય છે.
easy-day-js તરીકે ઓળખાતો આ હુમલો વિશ્વાસપાત્ર લાઇબ્રેરીઓને ઝેરી બનાવીને (poisoning) કામ કરે છે. કારણ કે હુમલાખોર પાસે એકાઉન્ટ-લેવલની પરમિશન હતી, તેઓએ સામાન્ય રિવ્યુને બાયપાસ કરી દીધા. જ્યારે તમે ઇન્સ્ટોલ અથવા અપગ્રેડ કરો છો, ત્યારે તમે જાણ્યા વગર હાનિકારક કોડ મેળવી શકો છો.
જોખમોમાં નીચેનાનો સમાવેશ થાય છે:
- તમારી API કી અને ક્રેડેન્શિયલ્સ ચોરી કરવી.
- તમારા AI મોડલ્સ કેવી રીતે વર્તે છે તેમાં ફેરફાર કરવો.
- તમારા CI/CD પાઇપલાઇન્સનો એક્સેસ મેળવવો.
- તમારા ક્લાઉડ એન્વાયરમેન્ટ્સમાં લેટરલ મૂવમેન્ટ (lateral movement) કરવી.
તમારા પ્રોજેક્ટ્સને સુરક્ષિત કરવા માટે તમારે ઝડપથી પગલાં લેવા પડશે. આ સ્ટેપ્સ અનુસરો:
તમારા ડિપેન્ડન્સીઝનું તાત્કાલિક ઓડિટ કરો. તમારા પ્રોજેક્ટમાં કોઈપણ @mastra પેકેજ શોધવા માટે આ કમાન્ડ ચલાવો:
npm ls --all | grep "@mastra/"સિક્યુરિટી સ્કેનર્સનો ઉપયોગ કરો. જાણીતી નબળાઈઓ (vulnerabilities) તપાસવા માટે
npm auditચલાવો. લાઇવ એલર્ટ્સ મોનિટર કરવા માટે Socket અથવા JFrog જેવા ટૂલ્સનો ઉપયોગ કરો.તમારા વર્ઝન પિન કરો. તમારા package.json માં વાઇલ્ડકાર્ડ્સ (wildcards) નો ઉપયોગ કરશો નહીં. હાનિકારક કોડમાં ઓટોમેટિક અપડેટ્સ રોકવા માટે તમારી ડિપેન્ડન્સીઝને ચોક્કસ, સુરક્ષિત વર્ઝન પર લોક કરો.
તમારા ક્રેડેન્શિયલ્સ રોટેટ કરો. જો તમને બ્રીચ (breach) નો શંકા હોય, તો તમારી કી અને સિક્રેટ્સ તરત જ બદલી નાખો.
2FA લાગુ કરો. જો તમે npm પેકેજો મેનેજ કરો છો, તો તમામ કન્ટ્રીબ્યુટર એકાઉન્ટ્સ માટે મલ્ટી-ફેક્ટર ઓથેન્ટિકેશનનો ઉપયોગ કરો.
ઓપન-સોર્સ ટ્રસ્ટ મોડલ નાજુક છે. એક જ કમ્પ્રમાઇઝ્ડ એકાઉન્ટ હજારો ડેવલપર્સને અસર કરી શકે છે. રાહ ન જુઓ. આજે જ તમારા ડિપેન્ડન્સી ટ્રીની તપાસ કરો.