𝟭𝟰𝟰 𝗣𝗮𝗸𝗲𝘁 𝗡𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗧𝗲𝗿𝗸𝗼𝗺𝗽𝗿𝗼𝗺𝗶
Serangan rantai pasokan perangkat lunak (software supply chain attack) besar baru saja melanda ekosistem JavaScript.
Penyerang membajak satu akun kontributor npm. Mereka menggunakan akses ini untuk memublikasikan pembaruan berbahaya ke 144 paket berbeda di bawah namespace @mastra.
Mastra adalah framework populer untuk membangun aplikasi AI. Ini berarti risiko tersebut menyebar langsung ke alat AI yang Anda bangun dan gunakan.
Serangan ini, yang dikenal sebagai easy-day-js, bekerja dengan meracuni library yang tepercaya. Karena penyerang memiliki izin tingkat akun, mereka berhasil melewati peninjauan normal. Saat Anda menjalankan instalasi atau pembaruan, Anda mungkin menarik kode berbahaya tanpa menyadarinya.
Risikonya meliputi:
- Mencuri kunci API dan kredensial Anda.
- Mengubah cara kerja model AI Anda.
- Mendapatkan akses ke pipeline CI/CD Anda.
- Melakukan pergerakan lateral melalui lingkungan cloud Anda.
Anda harus bertindak cepat untuk melindungi proyek Anda. Ikuti langkah-langkah berikut:
Audit dependensi Anda segera. Jalankan perintah ini untuk menemukan paket @mastra apa pun dalam proyek Anda: npm ls --all | grep "@mastra/"
Gunakan pemindai keamanan. Jalankan npm audit untuk memeriksa kerentanan yang diketahui. Gunakan alat seperti Socket atau JFrog untuk memantau peringatan secara langsung.
Kunci versi Anda (Pin your versions). Jangan gunakan wildcard dalam package.json Anda. Kunci dependensi Anda ke versi tertentu yang aman untuk mencegah pembaruan otomatis ke kode yang telah diracuni.
Rotasi kredensial Anda. Jika Anda mencurigai adanya pelanggaran, segera ganti kunci dan rahasia (secrets) Anda.
Terapkan 2FA. Jika Anda mengelola paket npm, gunakan autentikasi multifaktor untuk semua akun kontributor.
Model kepercayaan open-source sangatlah rapuh. Satu akun yang terkompromi dapat berdampak pada ribuan pengembang. Jangan menunggu. Periksa pohon dependensi Anda hari ini.