𝟭𝟰𝟰 𝗽𝗮𝗰𝗰𝗵𝗲𝘁𝘁𝗶 𝗻𝗽𝗺 𝗱𝗶 𝗠𝗮𝘀𝘁𝗿𝗮 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗲𝘀𝘀𝗶
Un importante attacco alla supply chain del software ha appena colpito l'ecosistema JavaScript.
Gli attaccanti hanno dirottato un singolo account di un contributore npm. Hanno utilizzato questo accesso per pubblicare aggiornamenti malevoli a 144 diversi pacchetti sotto il namespace @mastra.
Mastra è un framework popolare per la creazione di applicazioni AI. Ciò significa che il rischio si diffonde direttamente negli strumenti di AI che costruisci e utilizzi.
L'attacco, noto come easy-day-js, funziona avvelenando le librerie fidate. Poiché l'attaccante disponeva di permessi a livello di account, ha aggirato le