𝟭𝟰𝟰 𝗣𝗮𝗰𝗸𝗮𝗴𝗲 𝗡𝗽𝗺 𝗠𝗮𝘀𝘁𝗿𝗮 𝗗𝗶𝗰𝗲𝗿𝗼𝗯𝗼𝗵
Satu serangan rantaian bekalan perisian yang besar baru sahaja melanda ekosistem AI JavaScript.
Penyerang telah menceroboh 144 pakej npm di bawah ruang nama @mastra. Peristiwa ini, yang dikenali sebagai easy-day-js, berlaku kerana satu akaun penyumbang telah digodam.
Apabila akaun yang dipercayai jatuh, kerosakan akan merebak dengan pantas. Satu pencerobohan membolehkan penyerang menerbitkan versi berniat jahat bagi hampir setiap pakej utama Mastra. Ini meletakkan pembangun AI dan pasukan perusahaan dalam risiko.
Bagaimana serangan itu berfungsi:
- Seorang penyerang mengambil alih kawalan akaun npm yang sah.
- Mereka menggunakan kredensial ini untuk menerbitkan kod berniat jahat di seluruh ruang nama @mastra.
- Penyerang telah mengeluarkan 144 pakej secara berturut-turut dalam masa yang singkat.
- Kebanyakan sistem automatik menganggapnya sebagai kemas kini rutin.
Risikonya adalah tinggi. Kod berniat jahat boleh mencuri kunci API, kredensial pembangun, atau data pengguna. Ia juga boleh merosakkan binaan (builds) anda atau memperkenalkan pepijat (bugs).
Cara melindungi projek anda:
- Audit kebergantungan (dependencies) anda. Jalankan
npm audituntuk menyemak pokok (tree) anda. - Semak sejarah versi. Cari lonjakan mendadak dalam keluaran baharu.
- Gunakan alat imbasan. Alat seperti Socket atau JFrog membantu mengesan anomali.
- Gunakan fail kunci (lockfiles). Sentiasa gunakan
package-lock.jsonataunpm ciuntuk memastikan binaan anda stabil. - Kuatkuasakan 2FA. Pastikan semua penyumbang anda menggunakan pengesahan dua faktor.
Jika anda menggunakan mana-mana pakej @mastra, semak versi anda sekarang. Tetapkan (pin) kebergantungan anda kepada versi selamat yang diketahui dengan segera.
Sumber terbuka bergantung kepada kepercayaan. Anda mesti menganggap setiap kemas kini baharu sebagai risiko yang berpotensi.
Sumber: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
Komuniti pembelajaran pilihan: https://t.me/GyaanSetuAi