𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺-𝗽𝗮𝗰𝗸𝗲𝘁𝘁𝗲𝗻 𝗴𝗲𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘁𝘁𝗲𝗲𝗱
Een grote supply chain-aanval heeft het JavaScript-ecosysteem getroffen. Aanvallers hebben een npm-contributieaccount genaamd ehindero gekaapt. Ze gebruikten deze toegang om kwaadaardige updates te publiceren voor 144 pakketten onder de @mastra-namespace.
Mastra is een populair framework voor het bouwen van AI-applicaties. Dit lek brengt AI-producten in groot gevaar.
Hoe de aanval werkte:
- Aanvallers hebben inloggegevens gestolen of phishing gebruikt om een contributieaccount over te nemen.
- Ze omzeilden code-reviews door gebruik te maken van legitieme accountrechten.
- Ze publiceerden vergiftigde code rechtstreeks naar vertrouwde bibliotheken.
- Gebruikers verderop in de keten haalden deze kwaadaardige code automatisch op tijdens installaties of upgrades.
Risico's voor uw AI-applicaties:
- Diefstal van API-sleutels en gevoelige inloggegevens.
- Wijzigingen in het gedrag van AI-modellen om onveilige outputs te genereren.
- Kwaadaardige code die draait in uw CI/CD-pipelines of cloudomgevingen.
Wat u nu moet doen:
- Controleer uw afhankelijkheden. Voer
npm ls | grep "@mastra/"uit om getroffen pakketten te vinden. - Controleer op bekende kwetsbaarheden. Gebruik
npm auditof scanners van derden. - Leg uw versies vast. Gebruik geen wildcards. Dwing uw
package.jsonaf om een bekende veilige versie te gebruiken. - Verwijder gecompromitteerde pakketten onmiddellijk.
Beveiliging in open source is afhankelijk van de veiligheid van accounts. Eén gecompromitteerd account kan duizenden projecten vergiftigen. Bescherm uw supply chain door multi-factor authenticatie af te dwingen en regelmatig audits op afhankelijkheden uit te voeren.
Controleer vandaag nog uw afhankelijkheden.
Optionele leercommunity: https://t.me/GyaanSetuAi