144개의 Mastra npm 패키지 침해 발생
JavaScript 생태계에 대규모 공급망 공격이 발생했습니다. 공격자들은 ehindero라는 이름의 npm 기여자 계정을 탈취했습니다. 이들은 탈취한 권한을 이용해 @mastra 네임스페이스 아래에 있는 144개의 패키지에 악성 업데이트를 게시했습니다.
Mastra는 AI 애플리케이션 구축을 위한 인기 있는 프레임워크입니다. 이번 침해 사고로 인해 AI 제품들이 높은 위험에 처하게 되었습니다.
공격 방식:
- 공격자가 자격 증명을 훔치거나 피싱을 사용하여 기여자 계정을 탈취했습니다.
- 정상적인 계정 권한을 사용하여 코드 리뷰를 우회했습니다.
- 신뢰할 수 있는 라이브러리에 오염된 코드를 직접 게시했습니다.
- 하위 사용자들이 설치 또는 업그레이드 과정에서 이 악성 코드를 자동으로 내려받게 되었습니다.
AI 애플리케이션에 미치는 위험:
- API 키 및 민감한 자격 증명 탈취.
- 안전하지 않은 출력을 생성하도록 AI 모델 동작을 변경.
- CI/CD 파이프라인 또는 클라우드 환경에서 악성 코드 실행.
지금 즉시 조치해야 할 사항:
- 의존성을 점검하십시오.
npm ls | grep "@mastra/"를 실행하여 영향을 받은 패키지를 찾으십시오. - 알려진 취약점을 확인하십시오.
npm audit또는 타사 스캐너를 사용하십시오. - 버전을 고정하십시오. 와일드카드를 사용하지 마십시오.
package.json이 확인된 안전한 버전을 사용하도록 강제하십시오. - 침해된 패키지를 즉시 제거하십시오.
오픈 소스의 보안은 계정 안전성에 달려 있습니다. 단 하나의 계정만 탈취되어도 수천 개의 프로젝트가 오염될 수 있습니다. 다요소 인증(MFA)을 적용하고 정기적인 의존성 점검을 수행하여 공급망을 보호하십시오.
오늘 바로 의존성을 점검하십시오.
선택 사항 학습 커뮤니티: https://t.me/GyaanSetuAi