𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

𝟭𝟰𝟰 Mastra npm പാക്കേജുകൾ ബാധിക്കപ്പെട്ടു

JavaScript ഇക്കോസിസ്റ്റത്തിൽ വലിയൊരു സോഫ്റ്റ്‌വെയർ സപ്ലൈ ചെയിൻ ആക്രമണം നടന്നു.

ആക്രമണകാരികൾ ഒരു npm കൺട്രിബ്യൂട്ടർ അക്കൗണ്ട് ഹൈജാക്ക് ചെയ്തു. @mastra എന്ന നെയിംസ്പേസിന് കീഴിലുള്ള 144 വ്യത്യസ്ത പാക്കേജുകളിലേക്ക് മാലീഷ്യസ് അപ്‌ഡേറ്റുകൾ പ്രസിദ്ധീകരിക്കാൻ അവർ ഈ ആക്സസ് ഉപയോഗിച്ചു.

AI ആപ്ലിക്കേഷനുകൾ നിർമ്മിക്കുന്നതിനുള്ള ഒരു പ്രശസ്തമായ ഫ്രെയിംവർക്കാണ് Mastra. ഇതിനർത്ഥം നിങ്ങൾ നിർമ്മിക്കുന്നതും ഉപയോഗിക്കുന്നതുമായ AI ടൂളുകളിലേക്ക് ഈ അപകടസാധ്യത നേരിട്ട് വ്യാപിക്കുന്നു എന്നാണ്.

easy-day-js എന്ന് അറിയപ്പെടുന്ന ഈ ആക്രമണം, വിശ്വസനീയമായ ലൈബ്രറികളെ മലിനമാക്കിയാണ് (poisoning) പ്രവർത്തിക്കുന്നത്. ആക്രമണകാരിക്ക് അക്കൗണ്ട് തലത്തിലുള്ള അനുമതികൾ ഉണ്ടായിരുന്നതിനാൽ, സാധാരണ റിവ്യൂകളെ അവർ മറികടന്നു. നിങ്ങൾ ഒരു ഇൻസ്റ്റാൾ അല്ലെങ്കിൽ അപ്‌ഗ്രേഡ് നടത്തുമ്പോൾ, അറിയാതെ തന്നെ മാലീഷ്യസ് കോഡ് നിങ്ങളുടെ സിസ്റ്റത്തിലേക്ക് വരാം.

അപകടസാധ്യതകളിൽ ഇവ ഉൾപ്പെടുന്നു:

• നിങ്ങളുടെ API കീകുകളും ക്രെഡൻഷ്യലുകളും മോഷ്ടിക്കുക.
• നിങ്ങളുടെ AI മോഡലുകളുടെ പ്രവർത്തനരീതി മാറ്റുക.
• നിങ്ങളുടെ CI/CD പൈപ്പ്‌ലൈനുകളിൽ പ്രവേശനം നേടുക.
• നിങ്ങളുടെ ക്ലൗഡ് എൻവയോൺമെന്റുകളിലൂടെ വ്യാപിക്കുക.

നിങ്ങളുടെ പ്രോജക്റ്റുകൾ സംരക്ഷിക്കാൻ നിങ്ങൾ വേഗത്തിൽ പ്രവർത്തിക്കണം. ഈ ഘട്ടങ്ങൾ പാലിക്കുക:

1. നിങ്ങളുടെ ഡിപെൻഡൻസികൾ ഉടൻ തന്നെ ഓഡിറ്റ് ചെയ്യുക. നിങ്ങളുടെ പ്രോജക്റ്റിൽ ഏതെങ്കിലും @mastra പാക്കേജുകൾ ഉണ്ടോ എന്ന് കണ്ടെത്താൻ ഈ കമാൻഡ് ഉപയോഗിക്കുക: npm ls --all | grep "@mastra/"

2. സെക്യൂരിറ്റി സ്കാനറുകൾ ഉപയോഗിക്കുക. അറിയപ്പെടുന്ന സുരക്ഷാ വീഴ്ചകൾ പരിശോധിക്കാൻ npm audit റൺ ചെയ്യുക. തത്സമയ അലേർട്ടുകൾ നിരീക്ഷിക്കാൻ Socket അല്ലെങ്കിൽ JFrog പോലുള്ള ടൂളുകൾ ഉപയോഗിക്കുക.

3. നിങ്ങളുടെ വേർഷനുകൾ പിൻ (Pin) ചെയ്യുക. നിങ്ങളുടെ package.json-ൽ വൈൽഡ്കാർഡുകൾ ഉപയോഗിക്കരുത്. മലിനമായ കോഡുകളിലേക്കുള്ള ഓട്ടോമാറ്റിക് അപ്‌ഡേറ്റുകൾ തടയാൻ നിങ്ങളുടെ ഡിപെൻഡൻസികളെ ഒരു പ്രത്യേക സുരക്ഷിത വേർഷനിൽ ലോക്ക് ചെയ്യുക.

4. നിങ്ങളുടെ ക്രെഡൻഷ്യലുകൾ റൊട്ടേറ്റ് ചെയ്യുക. ഒരു സുരക്ഷാ വീഴ്ച നടന്നതായി സംശയിക്കുന്നുണ്ടെങ്കിൽ, നിങ്ങളുടെ കീകുകളും സീക്രറ്റുകളും ഉടൻ തന്നെ മാറ്റുക.

5. 2FA നടപ്പിലാക്കുക. നിങ്ങൾ npm പാക്കേജുകൾ മാനേജ് ചെയ്യുന്നുണ്ടെങ്കിൽ, എല്ലാ കൺട്രിബ്യൂട്ടർ അക്കൗണ്ടുകൾക്കും മൾട്ടി-ഫാക്ടർ ഓതന്റിക്കേഷൻ ഉപയോഗിക്കുക.

ഓപ്പൺ സോഴ്‌സ് വിശ്വാസ്യതയുടെ മാതൃക വളരെ ദുർബലമാണ്. ഒരു അക്കൗണ്ട് പോലും ബാധിക്കപ്പെട്ടാൽ അത് ആയിരക്കണക്കിന് ഡെവലപ്പർമാരെ ബാധിച്ചേക്കാം. വൈകിക്കരുത്. ഇന്ന് തന്നെ നിങ്ങളുടെ ഡിപെൻഡൻസി ട്രീ പരിശോധിക്കുക.

സ്രോതസ്സ്: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif