𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱
Serangan rantai pasokan (supply chain attack) besar melanda ekosistem JavaScript. Penyerang membajak akun kontributor npm bernama ehindero. Mereka menggunakan akses ini untuk memublikasikan pembaruan berbahaya ke 144 paket di bawah namespace @mastra.
Mastra adalah framework populer untuk membangun aplikasi AI. Pelanggaran ini menempatkan produk AI pada risiko tinggi.
Cara kerja serangan ini:
- Penyerang mencuri kredensial atau menggunakan phishing untuk mengambil alih akun kontributor.
- Mereka melewati tinjauan kode (code review) dengan menggunakan izin akun yang sah.
- Mereka memublikasikan kode berbahaya (poisoned code) langsung ke pustaka (library) tepercaya.
- Pengguna downstream secara otomatis menarik kode berbahaya ini saat melakukan instalasi atau pembaruan.
Risiko bagi aplikasi AI Anda:
- Pencurian kunci API dan kredensial sensitif.
- Perubahan perilaku model AI untuk menghasilkan output yang tidak aman.
- Kode berbahaya yang berjalan di pipeline CI/CD atau lingkungan cloud Anda.
Apa yang harus Anda lakukan sekarang:
- Audit dependensi Anda. Jalankan
npm ls | grep "@mastra/"untuk menemukan paket yang terdampak. - Periksa kerentanan yang diketahui. Gunakan
npm auditatau pemindai pihak ketiga. - Kunci versi Anda (pin your versions). Jangan gunakan wildcard. Paksa
package.jsonAnda untuk menggunakan versi aman yang diketahui. - Hapus paket yang terkompromi segera.
Keamanan dalam open source bergantung pada keamanan akun. Satu akun yang terkompromi dapat meracuni ribuan proyek. Lindungi rantai pasokan Anda dengan menerapkan autentikasi multifaktor dan menjalankan audit dependensi secara rutin.
Periksa dependensi Anda hari ini.
Komunitas belajar opsional: https://t.me/GyaanSetuAi