𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

𝟭𝟰𝟰 Mastra npm ಪ್ಯಾಕೇಜ್‌ಗಳು ಅಪರಾಧಕ್ಕೊಳಗಾಗಿವೆ

JavaScript ಪರಿಸರ ವ್ಯವಸ್ಥೆಯ ಮೇಲೆ ದೊಡ್ಡ ಮಟ್ಟದ ಸಾಫ್ಟ್‌ವೇರ್ ಸಪ್ಲೈ ಚೈನ್ ದಾಳಿ ನಡೆದಿದೆ.

ದಾಳಿಕೋರರು ಒಂದೇ npm ಕೊಡುಗೆದಾರರ (contributor) ಖಾತೆಯನ್ನು ಹೈಜಾಕ್ ಮಾಡಿದರು. ಅವರು ಈ ಪ್ರವೇಶವನ್ನು ಬಳಸಿ @mastra ನೇಮ್‌ಸ್ಪೇಸ್ ಅಡಿಯಲ್ಲಿರುವ 144 ವಿಭಿನ್ನ ಪ್ಯಾಕೇಜ್‌ಗಳಿಗೆ ದುರುದ್ದೇಶಪೂರಿತ ಅಪ್‌ಡೇಟ್‌ಗಳನ್ನು ಪ್ರಕಟಿಸಿದರು.

Mastra ಎಂಬುದು AI ಅಪ್ಲಿಕೇಶನ್‌ಗಳನ್ನು ನಿರ್ಮಿಸಲು ಬಳಸುವ ಜನಪ್ರಿಯ ಫ್ರೇಮ್‌ವರ್ಕ್ ಆಗಿದೆ. ಇದರರ್ಥ ನೀವು ನಿರ್ಮಿಸುವ ಮತ್ತು ಬಳಸುವ AI ಪರಿಕರಗಳಿಗೆ ಈ ಅಪಾಯವು ನೇರವಾಗಿ ಹರಡುತ್ತದೆ.

easy-day-js ಎಂದು ಕರೆಯಲ್ಪಡುವ ಈ ದಾಳಿಯು ನಂಬಿಕಸ್ತ ಲೈಬ್ರರಿಗಳನ್ನು ವಿಷಪೂರಿತಗೊಳಿಸುವ ಮೂಲಕ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ. ದಾಳಿಕೋರರು ಖಾತೆ ಮಟ್ಟದ ಅನುಮತಿಗಳನ್ನು ಹೊಂದಿದ್ದರಿಂದ, ಅವರು ಸಾಮಾನ್ಯ ಪರಿಶೀಲನೆಗಳನ್ನು (reviews) ಬೈಪಾಸ್ ಮಾಡಿದರು. ನೀವು ಇನ್‌ಸ್ಟಾಲ್ ಅಥವಾ ಅಪ್‌ಗ್ರೇಡ್ ಮಾಡುವಾಗ, ತಿಳಿಯದೆಯೇ ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ ಅನ್ನು ನಿಮ್ಮ ಸಿಸ್ಟಮ್‌ಗೆ ಸೇರಿಸಿಕೊಳ್ಳಬಹುದು.

ಅಪಾಯಗಳು ಇವುಗಳನ್ನು ಒಳಗೊಂಡಿವೆ:

• ನಿಮ್ಮ API ಕೀಗಳು ಮತ್ತು ಕ್ರೆಡೆನ್ಶಿಯಲ್‌ಗಳನ್ನು ಕದಿಯುವುದು.
• ನಿಮ್ಮ AI ಮಾಡೆಲ್‌ಗಳು ವರ್ತಿಸುವ ರೀತಿಯನ್ನು ಬದಲಾಯಿಸುವುದು.
• ನಿಮ್ಮ CI/CD ಪೈಪ್‌ಲೈನ್‌ಗಳಿಗೆ ಪ್ರವೇಶ ಪಡೆಯುವುದು.
• ನಿಮ್ಮ ಕ್ಲೌಡ್ ಪರಿಸರಗಳ ಮೂಲಕ ಪಾರ್ಶ್ವವಾಗಿ ಚಲಿಸುವುದು (lateral movement).

ನಿಮ್ಮ ಪ್ರಾಜೆಕ್ಟ್‌ಗಳನ್ನು ರಕ್ಷಿಸಲು ನೀವು ತಕ್ಷಣವೇ ಕ್ರಮ ಕೈಗೊಳ್ಳಬೇಕು. ಈ ಹಂತಗಳನ್ನು ಅನುಸರಿಸಿ:

1. ನಿಮ್ಮ ಅವಲಂಬನೆಗಳನ್ನು (dependencies) ತಕ್ಷಣವೇ ಆಡಿಟ್ ಮಾಡಿ. ನಿಮ್ಮ ಪ್ರಾಜೆಕ್ಟ್‌ನಲ್ಲಿರುವ ಯಾವುದೇ @mastra ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲು ಈ ಕಮಾಂಡ್ ಬಳಸಿ: npm ls --all | grep "@mastra/"

2. ಸೆಕ್ಯೂರಿಟಿ ಸ್ಕ್ಯಾನರ್‌ಗಳನ್ನು ಬಳಸಿ. ತಿಳಿದಿರುವ ದುರ್ಬಲತೆಗಳನ್ನು (vulnerabilities) ಪರಿಶೀಲಿಸಲು npm audit ಬಳಸಿ. ಲೈವ್ ಅಲರ್ಟ್‌ಗಳನ್ನು ಮೇಲ್ವಿಚಾರಣೆ ಮಾಡಲು Socket ಅಥವಾ JFrog ನಂತಹ ಪರಿಕರಗಳನ್ನು ಬಳಸಿ.

3. ನಿಮ್ಮ ವರ್ಷನ್‌ಗಳನ್ನು ಪಿನ್ (Pin) ಮಾಡಿ. ನಿಮ್ಮ package.json ನಲ್ಲಿ ವೈಲ್ಡ್‌ಕಾರ್ಡ್‌ಗಳನ್ನು ಬಳಸಬೇಡಿ. ವಿಷಪೂರಿತ ಕೋಡ್‌ಗೆ ಸ್ವಯಂಚಾಲಿತ ಅಪ್‌ಡೇಟ್‌ಗಳನ್ನು ತಡೆಯಲು ನಿಮ್ಮ ಅವಲಂಬನೆಗಳನ್ನು ನಿರ್ದಿಷ್ಟವಾದ, ಸುರಕ್ಷಿತ ವರ್ಷನ್‌ಗೆ ಲಾಕ್ ಮಾಡಿ.

4. ನಿಮ್ಮ ಕ್ರೆಡೆನ್ಶಿಯಲ್‌ಗಳನ್ನು ಬದಲಾಯಿಸಿ (Rotate). ಉಲ್ಲಂಘನೆಯ ಅನುಮಾನವಿದ್ದರೆ, ನಿಮ್ಮ ಕೀಗಳು ಮತ್ತು ಸೀಕ್ರೆಟ್‌ಗಳನ್ನು ತಕ್ಷಣವೇ ಬದಲಾಯಿಸಿ.

5. 2FA ಅನ್ನು ಕಡ್ಡಾಯಗೊಳಿಸಿ. ನೀವು npm ಪ್ಯಾಕೇಜ್‌ಗಳನ್ನು ನಿರ್ವಹಿಸುವುದಾದರೆ, ಎಲ್ಲಾ ಕೊಡುಗೆದಾರರ ಖಾತೆಗಳಿಗೆ ಮಲ್ಟಿ-ಫ್ಯಾಕ್ಟರ್ ಅಥೆಂಟಿಕೇಶನ್ ಬಳಸಿ.

ಓಪನ್-ಸೋರ್ಸ್ ನಂಬಿಕೆಯ ಮಾದರಿಯು ಅಸ್ಥಿರವಾಗಿದೆ. ಒಂದು ಸಂಚಲಿತಗೊಂಡ (compromised) ಖಾತೆಯು ಸಾವಿರಾರು ಡೆವಲಪರ್‌ಗಳ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರಬಹುದು. ಕಾಯಬೇಡಿ. ಇಂದು ನಿಮ್ಮ ಡಿಪೆಂಡೆನ್ಸಿ ಟ್ರೀಯನ್ನು (dependency tree) ಪರಿಶೀಲಿಸಿ.

ಮೂಲ: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif