𝟭𝟰𝟰 𝗣𝗮𝗸𝗲𝗷 𝗡𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗧𝗲𝗿𝗷𝗲𝗷𝗮𝘀
Satu serangan rantaian bekalan yang besar telah melanda ekosistem JavaScript. Penyerang telah merampas akaun penyumbang npm bernama ehindero. Mereka menggunakan akses ini untuk menerbitkan kemas kini berniat jahat kepada 144 pakej di bawah ruang nama @mastra.
Mastra ialah rangka kerja popular untuk membina aplikasi AI. Pencerobohan ini meletakkan produk AI dalam risiko tinggi.
Bagaimana serangan ini berfungsi:
- Penyerang mencuri kredensial atau menggunakan phishing untuk mengambil alih akaun penyumbang.
- Mereka memintas semakan kod dengan menggunakan kebenaran akaun yang sah.
- Mereka menerbitkan kod beracun secara terus ke dalam perpustakaan yang dipercayai.
- Pengguna hiliran menarik kod berniat jahat ini secara automatik semasa pemasangan atau naik taraf.
Risiko untuk aplikasi AI anda:
- Kecurian kunci API dan kredensial sensitif.
- Perubahan pada tingkah laku model AI untuk menghasilkan output yang tidak selamat.
- Kod berniat jahat yang berjalan dalam saluran paip CI/CD atau persekitaran awan anda.
Apa yang mesti anda lakukan sekarang:
- Audit kebergantungan anda. Jalankan
npm ls | grep "@mastra/"untuk mencari pakej yang terjejas. - Semak kerentanan yang diketahui. Gunakan npm audit atau pengimbas pihak ketiga.
- Tetapkan versi anda. Jangan gunakan wildcard. Paksa package.json anda untuk menggunakan versi selamat yang diketahui.
- Buang pakej yang terjejas dengan segera.
Keselamatan dalam sumber terbuka bergantung pada keselamatan akaun. Satu akaun yang terjejas boleh meracuni beribu-ribu projek. Lindungi rantaian bekalan anda dengan menguatkuasakan pengesahan berbilang faktor dan menjalankan audit kebergantungan secara berkala.
Semak kebergantungan anda hari ini.