𝟭𝟰𝟰 Mastra npm ਪੈਕੇਜਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੀ ਗਈ
JavaScript ecosystem 'ਤੇ ਇੱਕ ਵੱਡਾ supply chain ਹਮਲਾ ਹੋਇਆ ਹੈ। ਹਮਲਾਵਰਾਂ ਨੇ ehindero ਨਾਮ ਦੇ ਇੱਕ npm contributor account 'ਤੇ ਕਬਜ਼ਾ ਕਰ ਲਿਆ। ਉਨ੍ਹਾਂ ਨੇ ਇਸ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ @mastra namespace ਦੇ ਅਧੀਨ 144 ਪੈਕੇਜਾਂ ਵਿੱਚ ਮਾਲੀਸ਼ੀਅਸ ਅਪਡੇਟ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਲਈ ਕੀਤੀ।
Mastra AI ਐਪਲੀਕੇਸ਼ਨਾਂ ਬਣਾਉਣ ਲਈ ਇੱਕ ਪ੍ਰਸਿੱਧ framework ਹੈ। ਇਹ ਉਲੰਘਣਾ AI ਉਤਪਾਦਾਂ ਨੂੰ ਉੱਚ ਜੋਖਮ ਵਿੱਚ ਪਾਉਂਦੀ ਹੈ।
ਹਮਲਾ ਕਿਵੇਂ ਹੋਇਆ:
- ਹਮਲਾਵਰਾਂ ਨੇ credentials ਚੋਰੀ ਕੀਤੇ ਜਾਂ contributor account 'ਤੇ ਕਬਜ਼ਾ ਕਰਨ ਲਈ phishing ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
- ਉਨ੍ਹਾਂ ਨੇ ਜਾਇਜ਼ account permissions ਦੀ ਵਰਤੋਂ ਕਰਕੇ code reviews ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਦਿੱਤਾ।
- ਉਨ੍ਹਾਂ ਨੇ ਸਿੱਧੇ ਤਰ੍ਹਾਂ ਭਰੋਸੇਯੋਗ libraries ਵਿੱਚ ਖਰਾਬ (poisoned) code ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ।
- Downstream ਉਪਭੋਗਤਾਵਾਂ ਨੇ install ਜਾਂ upgrade ਦੌਰਾਨ ਆਪਣੇ ਆਪ ਇਸ ਮਾਲੀਸ਼ੀਅਸ code ਨੂੰ ਡਾਊਨਲੋਡ ਕਰ ਲਿਆ।
ਤੁਹਾਡੀਆਂ AI ਐਪਲੀਕੇਸ਼ਨਾਂ ਲਈ ਜੋਖਮ:
- API keys ਅਤੇ ਸੰਵੇਦਨਸ਼ੀਲ credentials ਦੀ ਚੋਰੀ।
- ਅਸੁਰੱਖਿਅਤ outputs ਪੈਦਾ ਕਰਨ ਲਈ AI model ਦੇ ਵਿਵਹਾਰ ਵਿੱਚ ਤਬਦੀਲੀਆਂ।
- ਤੁਹਾਡੇ CI/CD pipelines ਜਾਂ cloud environments ਵਿੱਚ ਮਾਲੀਸ਼ੀਅਸ code ਦਾ ਚੱਲਣਾ।
ਤੁਹਾਨੂੰ ਹੁਣ ਕੀ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ:
- ਆਪਣੀਆਂ dependencies ਦੀ ਜਾਂਚ (audit) ਕਰੋ। ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜਾਂ ਨੂੰ ਲੱਭਣ ਲਈ
npm ls | grep "@mastra/"ਚਲਾਓ। - ਜਾਣੇ-ਪਛਾਣੇ vulnerabilities ਦੀ ਜਾਂਚ ਕਰੋ। npm audit ਜਾਂ third-party scanners ਦੀ ਵਰਤੋਂ ਕਰੋ।
- ਆਪਣੇ versions ਨੂੰ ਪਿੰਨ (pin) ਕਰੋ। Wildcards ਦੀ ਵਰਤੋਂ ਨਾ ਕਰੋ। ਆਪਣੇ package.json ਨੂੰ ਇੱਕ ਜਾਣੇ-ਪਛਾਣੇ ਸੁਰੱਖਿਅਤ version ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਮਜਬੂਰ ਕਰੋ।
- ਪ੍ਰਭਾਵਿਤ ਪੈਕੇਜਾਂ ਨੂੰ ਤੁਰੰਤ ਹਟਾਓ।
Open source ਵਿੱਚ ਸੁਰੱਖਿਆ account ਦੀ ਸੁਰੱਖਿਆ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ। ਇੱਕ ਵੀ compromised account ਹਜ਼ਾਰਾਂ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਖਰਾਬ ਕਰ ਸਕਦਾ ਹੈ। Multi-factor authentication ਨੂੰ ਲਾਗੂ ਕਰਕੇ ਅਤੇ ਨਿਯਮਤ dependency audits ਚਲਾ ਕੇ ਆਪਣੀ supply chain ਦੀ ਰੱਖਿਆ ਕਰੋ।
ਅੱਜ ਹੀ ਆਪਣੀਆਂ dependencies ਦੀ ਜਾਂਚ ਕਰੋ।
Optional learning community: https://t.me/GyaanSetuAi