144개의 Mastra npm 패키지 침해 발생
JavaScript 생태계에 대규모 소프트웨어 공급망 공격이 발생했습니다.
공격자들이 단일 npm 기여자 계정을 탈취했습니다. 이들은 해당 권한을 이용해 @mastra 네임스페이스 아래에 있는 144개의 서로 다른 패키지에 악성 업데이트를 게시했습니다.
Mastra는 AI 애플리케이션 구축을 위한 인기 있는 프레임워크입니다. 이는 여러분이 구축하고 사용하는 AI 도구로 위험이 직접적으로 확산될 수 있음을 의미합니다.
easy-day-js로 알려진 이번 공격은 신뢰할 수 있는 라이브러리를 오염시키는 방식으로 작동합니다. 공격자가 계정 수준의 권한을 가졌기 때문에 일반적인 검토 과정을 우회할 수 있었습니다. 설치(install)나 업그레이드(upgrade)를 실행할 때, 자신도 모르게 악성 코드를 가져올 수 있습니다.
위험 요소는 다음과 같습니다:
- API 키 및 자격 증명 탈취.
- AI 모델의 동작 방식 변경.
- CI/CD 파이프라인 접근 권한 획득.
- 클라우드 환경 내에서의 측면 이동(lateral movement).
프로젝트를 보호하려면 신속하게 조치를 취해야 합니다. 다음 단계를 따르십시오:
즉시 종속성을 감사하십시오. 프로젝트 내의 @mastra 패키지를 찾으려면 다음 명령어를 실행하십시오:
npm ls --all | grep "@mastra/"보안 스캐너를 사용하십시오.
npm audit을 실행하여 알려진 취약점을 확인하십시오. Socket이나 JFrog와 같은 도구를 사용하여 실시간 경고를 모니터링하십시오.버전을 고정하십시오.
package.json에서 와일드카드를 사용하지 마십시오. 오염된 코드로 자동 업데이트되는 것을 방지하기 위해 종속성을 특정 안전한 버전으로 고정하십시오.자격 증명을 교체하십시오. 침해 사고가 의심된다면 즉시 키와 비밀값(secrets)을 변경하십시오.
2FA를 강제하십시오. npm 패키지를 관리한다면 모든 기여자 계정에 다요소 인증(MFA)을 사용하십시오.
오픈 소스 신뢰 모델은 취약합니다. 단 하나의 계정 침해로도 수천 명의 개발자에게 영향을 미칠 수 있습니다. 기다리지 마십시오. 오늘 바로 종속성 트리(dependency tree)를 확인하십시오.