𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗕𝗮𝗱𝗵𝗶𝘁 𝗝𝗵𝗮𝗹𝗲
JavaScript इकोसिस्टमवर मोठा सप्लाय चेन अटॅक (supply chain attack) झाला आहे. हल्लेखोरांनी ehindero नावाचे npm योगदानकर्ता (contributor) खाते हायजॅक केले. त्यांनी या प्रवेशाचा वापर करून @mastra नेमस्पेस अंतर्गत असलेल्या १४४ पॅकेजेसमध्ये घातक अपडेट्स प्रकाशित केले.
Mastra हे AI ॲप्लिकेशन्स तयार करण्यासाठी एक लोकप्रिय फ्रेमवर्क आहे. या ब्रीचमुळे (breach) AI उत्पादनांना मोठा धोका निर्माण झाला आहे.
हा हल्ला कसा झाला:
- हल्लेखोरांनी क्रेडेंशियल्स चोरले किंवा योगदानकर्ता खाते ताब्यात घेण्यासाठी फिशिंगचा (phishing) वापर केला.
- त्यांनी वैध खाते परवानग्यांचा वापर करून कोड रिव्ह्यू (code reviews) बायपास केले.
- त्यांनी थेट विश्वासार्ह लायब्ररीमध्ये 'पॉइझन्ड कोड' (poisoned code) प्रकाशित केला.
- इन्स्टॉलेशन किंवा अपग्रेड दरम्यान डाउनस्ट्रीम वापरकर्त्यांनी हा घातक कोड आपोआप प्राप्त केला.
तुमच्या AI ॲप्लिकेशन्ससाठी धोके:
- API की आणि संवेदनशील क्रेडेंशियल्सची चोरी.
- असुरक्षित आउटपुट देण्यासाठी AI मॉडेलच्या वर्तनात बदल करणे.
- तुमच्या CI/CD पाइपलाइन्स किंवा क्लाउड वातावरणात घातक कोड चालणे.
तुम्ही आता काय केले पाहिजे:
- तुमच्या डिपेंडेंसीजचे (dependencies) ऑडिट करा. बाधित पॅकेजेस शोधण्यासाठी
npm ls | grep "@mastra/"चालवा. - ज्ञात असुरक्षितता (vulnerabilities) तपासा.
npm auditकिंवा थर्ड-पार्टी स्कॅनर वापरा. - तुमच्या व्हर्जनला 'पिन' (pin) करा. वाइल्डकार्ड्स (wildcards) वापरू नका. तुमच्या
package.jsonला ज्ञात सुरक्षित व्हर्जन वापरण्यास भाग पाडा. - बाधित पॅकेजेस त्वरित काढून टाका.
ओपन सोर्समधील सुरक्षा ही खात्याच्या सुरक्षिततेवर अवलंबून असते. एक बाधित खाते हजारो प्रकल्पांना दूषित करू शकते. मल्टि-फॅक्टर ऑथेंटिकेशन (multi-factor authentication) लागू करून आणि नियमितपणे डिपेंडेंसी ऑडिट करून तुमच्या सप्लाय चेनचे संरक्षण करा.
आजच तुमच्या डिपेंडेंसीज तपासा.
Optional learning community: https://t.me/GyaanSetuAi