144 Mastra npm ਪੈਕੇਜਾਂ ਨਾਲ ਛੇੜਛਾੜ ਕੀਤੀ ਗਈ
JavaScript ecosystem 'ਤੇ ਹੁਣੇ ਹੀ ਇੱਕ ਵੱਡਾ software supply chain ਹਮਲਾ ਹੋਇਆ ਹੈ।
ਹਮਲਾਵਰਾਂ ਨੇ ਇੱਕ npm contributor account ਨੂੰ ਹਾਈਜੈਕ ਕਰ ਲਿਆ। ਉਨ੍ਹਾਂ ਨੇ ਇਸ ਪਹੁੰਚ ਦੀ ਵਰਤੋਂ @mastra namespace ਦੇ ਅਧੀਨ 144 ਵੱਖ-ਵੱਖ ਪੈਕੇਜਾਂ ਵਿੱਚ ਮਾਲੀਸ਼ੀਅਸ ਅੱਪਡੇਟ ਪ੍ਰਕਾਸ਼ਿਤ ਕਰਨ ਲਈ ਕੀਤੀ।
Mastra AI applications ਬਣਾਉਣ ਲਈ ਇੱਕ ਪ੍ਰਸਿੱਧ framework ਹੈ। ਇਸਦਾ ਮਤਲਬ ਹੈ ਕਿ ਖਤਰਾ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਉਨ੍ਹਾਂ AI tools ਵਿੱਚ ਫੈਲ ਜਾਂਦਾ ਹੈ ਜੋ ਤੁਸੀਂ ਬਣਾਉਂਦੇ ਅਤੇ ਵਰਤਦੇ ਹੋ।
ਇਹ ਹਮਲਾ, ਜਿਸ ਨੂੰ easy-day-js ਵਜੋਂ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ, ਭਰੋਸੇਯੋਗ libraries ਨੂੰ 'poison' ਕਰਨ ਰਾਹੀਂ ਕੰਮ ਕਰਦਾ ਹੈ। ਕਿਉਂਕਿ ਹਮਲਾਵਰ ਕੋਲ account-level permissions ਸਨ, ਉਨ੍ਹਾਂ ਨੇ ਆਮ ਰਿਵਿਊਜ਼ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਦਿੱਤਾ। ਜਦੋਂ ਤੁਸੀਂ install ਜਾਂ upgrade ਚਲਾਉਂਦੇ ਹੋ, ਤਾਂ ਤੁਸੀਂ ਜਾਣੇ ਬਿਨਾਂ ਮਾਲੀਸ਼ੀਅਸ ਕੋਡ ਨੂੰ ਆਪਣੇ ਸਿਸਟਮ ਵਿੱਚ ਲਿਆ ਸਕਦੇ ਹੋ।
ਖ਼ਤਰਿਆਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:
- ਤੁਹਾਡੀਆਂ API keys ਅਤੇ credentials ਚੋਰੀ ਕਰਨਾ।
- ਤੁਹਾਡੇ AI models ਦੇ ਵਿਵਹਾਰ ਨੂੰ ਬਦਲਣਾ।
- ਤੁਹਾਡੇ CI/CD pipelines ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਕਰਨਾ।
- ਤੁਹਾਡੇ cloud environments ਵਿੱਚ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਕਰਨਾ।
ਆਪਣੇ ਪ੍ਰੋਜੈਕਟਾਂ ਦੀ ਰੱਖਿਆ ਲਈ ਤੁਹਾਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਕਾਰਵਾਈ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ। ਇਹਨਾਂ ਕਦਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ:
ਆਪਣੀਆਂ dependencies ਦੀ ਤੁਰੰਤ ਜਾਂਚ ਕਰੋ। ਆਪਣੇ ਪ੍ਰੋਜੈਕਟ ਵਿੱਚ ਕਿਸੇ ਵੀ @mastra ਪੈਕੇਜ ਨੂੰ ਲੱਭਣ ਲਈ ਇਹ command ਚਲਾਓ:
npm ls --all | grep "@mastra/"security scanners ਦੀ ਵਰਤੋਂ ਕਰੋ। ਜਾਣੇ-ਪਛਾਣੇ vulnerabilities ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ
npm auditਚਲਾਓ। ਲਾਈਵ ਅਲਰਟਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ Socket ਜਾਂ JFrog ਵਰਗੇ tools ਦੀ ਵਰਤੋਂ ਕਰੋ।ਆਪਣੇ versions ਨੂੰ pin ਕਰੋ। ਆਪਣੇ
package.jsonਵਿੱਚ wildcards ਦੀ ਵਰਤੋਂ ਨਾ ਕਰੋ। ਮਾਲੀਸ਼ੀਅਸ ਕੋਡ ਦੇ ਆਟੋਮੈਟਿਕ ਅੱਪਡੇਟਸ ਨੂੰ ਰੋਕਣ ਲਈ ਆਪਣੀਆਂ dependencies ਨੂੰ ਇੱਕ ਖਾਸ, ਸੁਰੱਖਿਅਤ version 'ਤੇ lock ਕਰੋ।ਆਪਣੇ credentials ਨੂੰ rotate ਕਰੋ। ਜੇਕਰ ਤੁਹਾਨੂੰ ਕਿਸੇ ਉਲੰਘਣਾ ਦਾ ਸ਼ੱਕ ਹੈ, ਤਾਂ ਆਪਣੀਆਂ keys ਅਤੇ secrets ਨੂੰ ਤੁਰੰਤ ਬਦਲ ਦਿਓ।
2FA ਲਾਗੂ ਕਰੋ। ਜੇਕਰ ਤੁਸੀਂ