144 Mastra npm ਪੈਕੇਜਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੀ ਗਈ
JavaScript AI ecosystem 'ਤੇ ਹੁਣੇ ਹੀ ਇੱਕ ਵੱਡਾ software supply chain ਹਮਲਾ ਹੋਇਆ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ @mastra namespace ਦੇ ਅਧੀਨ 144 npm ਪੈਕੇਜਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੀ ਹੈ। ਇਹ ਘਟਨਾ, ਜਿਸ ਨੂੰ easy-day-js ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਇੱਕ ਸਿੰਗਲ contributor account ਦੇ ਹਾਈਜੈਕ ਹੋਣ ਕਾਰਨ ਵਾਪਰੀ।
ਜਦੋਂ ਕੋਈ ਭਰੋਸੇਯੋਗ account ਡਿੱਗਦਾ ਹੈ, ਤਾਂ ਨੁਕਸਾਨ ਤੇਜ਼ੀ ਨਾਲ ਫੈਲਦਾ ਹੈ। ਇੱਕ ਬ੍ਰੀਚ ਨੇ ਹਮਲਾਵਰ ਨੂੰ ਲਗਭਗ ਹਰ ਮੇਜਰ Mastra ਪੈਕੇਜ ਦੇ ਹਾਨੀਕਾਰਕ (malicious) ਵਰਜ਼ਨ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੱਤੀ। ਇਹ AI developers ਅਤੇ enterprise teams ਨੂੰ ਖਤਰੇ ਵਿੱਚ ਪਾਉਂਦਾ ਹੈ।
ਹਮਲਾ ਕਿਵੇਂ ਹੋਇਆ:
- ਇੱਕ ਹਮਲਾਵਰ ਨੇ ਇੱਕ ਜਾਇਜ਼ npm account ਦਾ ਕੰਟਰੋਲ ਲੈ ਲਿਆ।
- ਉਨ੍ਹਾਂ ਨੇ ਪੂਰੇ @mastra namespace ਵਿੱਚ ਹਾਨੀਕਾਰਕ ਕੋਡ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਲਈ ਇਹਨਾਂ credentials ਦੀ ਵਰਤੋਂ ਕੀਤੀ।
- ਹਮਲਾਵਰ ਨੇ ਲਗਾਤਾਰ 144 ਪੈਕੇਜ ਜਾਰੀ ਕੀਤੇ।
- ਜ਼ਿਆਦਾਤਰ ਆਟੋਮੇਟਿਡ ਸਿਸਟਮਾਂ ਨੇ ਇਹਨਾਂ ਨੂੰ ਰੁਟੀਨ ਅਪਡੇਟਾਂ ਵਜੋਂ ਦੇਖਿਆ।
ਖਤਰਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਹੈ। ਹਾਨੀਕਾਰਕ ਕੋਡ API keys, developer credentials, ਜਾਂ user data ਚੋਰੀ ਕਰ ਸਕਦਾ ਹੈ। ਇਹ ਤੁਹਾਡੇ builds ਨੂੰ ਵੀ ਖਰਾਬ ਕਰ ਸਕਦਾ ਹੈ ਜਾਂ bugs ਪੈਦਾ ਕਰ ਸਕਦਾ ਹੈ।
ਆਪਣੇ ਪ੍ਰੋਜੈਕਟਾਂ ਨੂੰ ਕਿਵੇਂ ਸੁਰੱਖਿਅਤ ਰੱਖਣਾ ਹੈ:
- ਆਪਣੀਆਂ dependencies ਦਾ ਆਡਿਟ ਕਰੋ। ਆਪਣੀ tree ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ
npm auditਚਲਾਓ। - version history ਦੀ ਜਾਂਚ ਕਰੋ। ਨਵੇਂ ਰਿਲੀਜ਼ਾਂ ਦੇ ਅਚਾਨਕ ਵਾਧੇ 'ਤੇ ਨਜ਼ਰ ਰੱਖੋ।
- ਸਕੈਨਿੰਗ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰੋ। Socket ਜਾਂ JFrog ਵਰਗੇ ਟੂਲ ਅਨੋਮਲੀਆਂ (anomalies) ਦਾ ਪਤਾ ਲਗਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।
- lockfiles ਦੀ ਵਰਤੋਂ ਕਰੋ। ਆਪਣੇ builds ਨੂੰ ਸਥਿਰ ਰੱਖਣ ਲਈ ਹਮੇਸ਼ਾ
package-lock.jsonਜਾਂnpm ciਦੀ ਵਰਤੋਂ ਕਰੋ। - 2FA ਲਾਗੂ ਕਰੋ। ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਹਾਡੇ ਸਾਰੇ contributors two-factor authentication ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
ਜੇਕਰ ਤੁਸੀਂ ਕੋਈ ਵੀ @mastra ਪੈਕੇਜ ਵਰਤਦੇ ਹੋ, ਤਾਂ ਹੁਣੇ ਆਪਣੇ ਵਰਜ਼ਨਾਂ ਦੀ ਜਾਂਚ ਕਰੋ। ਆਪਣੀਆਂ dependencies ਨੂੰ ਤੁਰੰਤ ਜਾਣੇ-ਪਛਾਣੇ ਸੁਰੱਖਿਅਤ ਵਰਜ਼ਨਾਂ 'ਤੇ ਪਿੰਨ (pin) ਕਰੋ।
Open source ਭਰੋਸੇ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। ਤੁਹਾਨੂੰ ਹਰ ਨਵੇਂ ਅਪਡੇਟ ਨੂੰ ਇੱਕ ਸੰਭਾਵੀ ਖਤਰੇ ਵਜੋਂ ਲੈਣਾ ਚਾਹੀਦਾ ਹੈ।
ਸਰੋਤ: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
ਵਿਕਲਪਿਕ ਲਰਨਿੰਗ ਕਮਿਊਨਿਟੀ: https://t.me/GyaanSetuAi