𝟭𝟰𝟰 𝗽𝗮𝗰𝗰𝗵𝗲𝘁𝘁𝗶 𝗡𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗲𝘀𝘀𝗶
Un importante attacco alla supply chain del software ha appena colpito l'ecosistema AI di JavaScript.
Gli attaccanti hanno compromesso 144 pacchetti npm sotto il namespace @mastra. Questo evento, noto come easy-day-js, è avvenuto perché un singolo account di un collaboratore è stato dirottato.
Quando un account fidato viene compromesso, il danno si diffonde rapidamente. Una singola violazione ha permesso all'attaccante di pubblicare versioni malevole di quasi tutti i principali pacchetti Mastra. Ciò mette a rischio gli sviluppatori di AI e i team aziendali.
Come ha funzionato l'attacco:
- Un attaccante ha preso il controllo di un legittimo account npm.
- Ha utilizzato queste credenziali per pubblicare codice malevolo in tutto il namespace @mastra.
- L'attaccante ha rilasciato 144 pacchetti in rapida successione.
- La maggior parte dei sistemi automatizzati li ha considerati come aggiornamenti