𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

144個のMastra npmパッケージが侵害されました

JavaScript AIエコシステムを標的とした、大規模なソフトウェアサプライチェーン攻撃が発生しました。

攻撃者は @mastra ネームスペース配下の144個のnpmパッケージを侵害しました。easy-day-jsとして知られるこの事象は、単一のコントリビューターアカウントが乗っ取られたことにより発生しました。

信頼されているアカウントが侵害されると、被害は急速に拡大します。一度の侵害により、攻撃者はほぼすべての主要なMastraパッケージの悪意のあるバージョンを公開することが可能になりました。これにより、AI開発者や企業チームがリスクにさらされています。

攻撃の手口：

• 攻撃者が正当なnpmアカウントの制御権を奪取しました。
• これらの認証情報を使用して、@mastra ネームスペース全体に悪意のあるコードを公開しました。
• 攻撃者は144個のパッケージを立て続けにリリースしました。
• ほとんどの自動化システムは、これらを通常のアップデートとして認識しました。

リスクは非常に高いです。悪意のあるコードは、APIキー、開発者の認証情報、またはユーザーデータを盗み出す可能性があります。また、ビルドを失敗させたり、バグを混入させたりすることもあります。

プロジェクトを保護する方法：

• 依存関係を監査する。npm audit を実行して依存関係ツリーを確認してください。
• バージョン履歴を確認する。新しいリリースが急増していないか確認してください。
• スキャンツールを使用する。SocketやJFrogなどのツールは、異常の検出に役立ちます。
• ロックファイルを使用する。ビルドを安定させるために、常に package-lock.json または npm ci を使用してください。
• 2FAを徹底する。すべてのコントリビューターが二要素認証を使用していることを確認してください。

@mastra パッケージを使用している場合は、今すぐバージョンを確認してください。直ちに依存関係を既知の安全なバージョンに固定（ピン留め）してください。

オープンソースは信頼に基づいています。すべての新しいアップデートを潜在的なリスクとして扱う必要があります。

出典: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn

オプションの学習コミュニティ: https://t.me/GyaanSetuAi