𝟭𝟰𝟰 Mastra npm ಪ್ಯಾಕೇಜ್ಗಳು ಅಸುರಕ್ಷಿತಗೊಂಡಿವೆ
JavaScript AI ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ಮೇಲೆ ದೊಡ್ಡ ಮಟ್ಟದ ಸಾಫ್ಟ್ವೇರ್ ಸಪ್ಲೈ ಚೈನ್ ದಾಳಿ ನಡೆದಿದೆ.
ದಾಳಿಕೋರರು @mastra ನೇಮ್ಸ್ಪೇಸ್ ಅಡಿಯಲ್ಲಿರುವ 144 npm ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಅಸುರಕ್ಷಿತಗೊಳಿಸಿದ್ದಾರೆ. easy-day-js ಎಂದು ಕರೆಯಲ್ಪಡುವ ಈ ಘಟನೆಯು, ಕೇವಲ ಒಂದು ಕಂಟ್ರಿಬ್ಯೂಟರ್ ಖಾತೆಯನ್ನು ಹೈಜಾಕ್ ಮಾಡಿದ್ದರಿಂದ ಸಂಭವಿಸಿದೆ.
ನಂಬಿಕಸ್ತ ಖಾತೆಯು ಹೈಜಾಕ್ ಆದಾಗ, ಹಾನಿಯು ವೇಗವಾಗಿ ಹರಡುತ್ತದೆ. ಒಂದು ಭಂಗಿನಿಂದಾಗಿ ದಾಳಿಕೋರರು ಬಹುತೇಕ ಎಲ್ಲಾ ಪ್ರಮುಖ Mastra ಪ್ಯಾಕೇಜ್ಗಳ ದುರುದ್ದೇಶಪೂರಿತ ಆವೃತ್ತಿಗಳನ್ನು ಪ್ರಕಟಿಸಲು ಸಾಧ್ಯವಾಯಿತು. ಇದು AI ಡೆವಲಪರ್ಗಳು ಮತ್ತು ಎಂಟರ್ಪ್ರೈಸ್ ತಂಡಗಳನ್ನು ಅಪಾಯಕ್ಕೆ ತಳ್ಳುತ್ತದೆ.
ದಾಳಿ ಹೇಗೆ ನಡೆಯಿತು:
- ದಾಳಿಕೋರರು ಒಂದು ಅಧಿಕೃತ npm ಖಾತೆಯ ಮೇಲೆ ನಿಯಂತ್ರಣ ಸಾಧಿಸಿದರು.
- ಅವರು ಇಡೀ @mastra ನೇಮ್ಸ್ಪೇಸ್ನಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ಪ್ರಕಟಿಸಲು ಈ ಕ್ರೆಡೆನ್ಶಿಯಲ್ಗಳನ್ನು ಬಳಸಿದರು.
- ದಾಳಿಕೋರರು ಅತಿ ವೇಗವಾಗಿ 144 ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಬಿಡುಗಡೆ ಮಾಡಿದರು.
- ಹೆಚ್ಚಿನ ಸ್ವಯಂಚಾಲಿತ ವ್ಯವಸ್ಥೆಗಳು ಇವುಗಳನ್ನು ಸಾಮಾನ್ಯ ಅಪ್ಡೇಟ್ಗಳೆಂದು ಪರಿಗಣಿಸಿದವು.
ಅಪಾಯವು ಹೆಚ್ಚಿದೆ. ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ಗಳು API ಕೀಗಳು, ಡೆವಲಪರ್ ಕ್ರೆಡೆನ್ಶಿಯಲ್ಗಳು ಅಥವಾ ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಕದಿಯಬಹುದು. ಇದು ನಿಮ್ಮ ಬಿಲ್ಡ್ಗಳನ್ನು ಹಾಳುಮಾಡಬಹುದು ಅಥವಾ ಬಗ್ಗಳನ್ನು ಪರಿಚಯಿಸಬಹುದು.
ನಿಮ್ಮ ಪ್ರಾಜೆಕ್ಟ್ಗಳನ್ನು ಹೇಗೆ ರಕ್ಷಿಸುವುದು:
- ನಿಮ್ಮ ಅವಲಂಬನೆಗಳನ್ನು (dependencies) ಆಡಿಟ್ ಮಾಡಿ. ನಿಮ್ಮ ಟ್ರೀ (tree) ಪರಿಶೀಲಿಸಲು npm audit ಬಳಸಿ.
- ವರ್ಷನ್ ಇತಿಹಾಸವನ್ನು ಪರಿಶೀಲಿಸಿ. ಹೊಸ ಬಿಡುಗಡೆಗಳ ಅನಿರೀಕ್ಷಿತ ಏರಿಕೆಗಳಿಗಾಗಿ ಗಮನಿಸಿ.
- ಸ್ಕ್ಯಾನಿಂಗ್ ಟೂಲ್ಗಳನ್ನು ಬಳಸಿ. Socket ಅಥವಾ JFrog ನಂತಹ ಟೂಲ್ಗಳು ಅಸಂಬದ್ಧತೆಗಳನ್ನು ಪತ್ತೆಹಚ್ಚಲು ಸಹಾಯ ಮಾಡುತ್ತವೆ.
- ಲಾಕ್ಫೈಲ್ಗಳನ್ನು ಬಳಸಿ. ನಿಮ್ಮ ಬಿಲ್ಡ್ಗಳನ್ನು ಸ್ಥಿರವಾಗಿಡಲು ಯಾವಾಗಲೂ package-lock.json ಅಥವಾ npm ci ಬಳಸಿ.
- 2FA ಅನ್ನು ಕಡ್ಡಾಯಗೊಳಿಸಿ. ನಿಮ್ಮ ಎಲ್ಲಾ ಕಂಟ್ರಿಬ್ಯೂಟರ್ಗಳು ಟೂ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ ಬಳಸುತ್ತಿದ್ದಾರೆ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
ನೀವು ಯಾವುದೇ @mastra ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ಈಗಲೇ ನಿಮ್ಮ ವರ್ಷನ್ಗಳನ್ನು ಪರಿಶೀಲಿಸಿ. ನಿಮ್ಮ ಅವಲಂಬನೆಗಳನ್ನು ತಕ್ಷಣವೇ ತಿಳಿದಿರುವ ಸುರಕ್ಷಿತ ವರ್ಷನ್ಗಳಿಗೆ ಪಿನ್ (pin) ಮಾಡಿ.
ಓಪನ್ ಸೋರ್ಸ್ ನಂಬಿಕೆಯ ಮೇಲೆ ಅವಲಂಬಿತವಾಗಿದೆ. ನೀವು ಪ್ರತಿಯೊಂದು ಹೊಸ ಅಪ್ಡೇಟ್ ಅನ್ನು ಸಂಭಾವ್ಯ ಅಪಾಯವೆಂದು ಪರಿಗಣಿಸಬೇಕು.
ಮೂಲ: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
ಐಚ್ಛಿಕ ಕಲಿಕಾ ಸಮುದಾಯ: https://t.me/GyaanSetuAi