𝟭𝟰𝟰 𝗣𝗮𝗰𝗸𝗮𝗴𝗲 𝗡𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗧𝗲𝗿𝗸𝗼𝗺𝗽𝗿𝗼𝗺𝗶
Serangan rantai pasokan perangkat lunak (software supply chain attack) besar baru saja melanda ekosistem AI JavaScript.
Penyerang telah mengompromikan 144 paket npm di bawah namespace @mastra. Peristiwa ini, yang dikenal sebagai easy-day-js, terjadi karena satu akun kontributor dibajak.
Ketika akun tepercaya jatuh, kerusakannya menyebar dengan cepat. Satu pelanggaran memungkinkan penyerang untuk memublikasikan versi berbahaya dari hampir setiap paket Mastra utama. Hal ini menempatkan pengembang AI dan tim perusahaan dalam risiko.
Cara kerja serangan ini:
- Penyerang mengambil alih akun npm yang sah.
- Mereka menggunakan kredensial ini untuk memublikasikan kode berbahaya di seluruh namespace @mastra.
- Penyerang merilis 144 paket secara berturut-turut dalam waktu singkat.
- Sebagian besar sistem otomatis menganggap ini sebagai pembaruan rutin.
Risikonya tinggi. Kode berbahaya dapat mencuri kunci API, kredensial pengembang, atau data pengguna. Hal ini juga dapat merusak build Anda atau memperkenalkan bug.
Cara melindungi proyek Anda:
- Audit dependensi Anda. Jalankan
npm audituntuk memeriksa pohon dependensi Anda. - Periksa riwayat versi. Cari lonjakan rilis baru yang tiba-tiba.
- Gunakan alat pemindaian. Alat seperti Socket atau JFrog membantu mendeteksi anomali.
- Gunakan lockfiles. Selalu gunakan
package-lock.jsonataunpm ciuntuk menjaga build Anda tetap stabil. - Terapkan 2FA. Pastikan semua kontributor Anda menggunakan autentikasi dua faktor.
Jika Anda menggunakan paket @mastra apa pun, periksa versi Anda sekarang. Segera kunci (pin) dependensi Anda ke versi aman yang sudah diketahui.
Open source bergantung pada kepercayaan. Anda harus memperlakukan setiap pembaruan baru sebagai risiko potensial.
Sumber: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
Komunitas belajar opsional: https://t.me/GyaanSetuAi