𝟭𝟰𝟰 𝗽𝗮𝗰𝗼𝘁𝗲𝘀 𝗻𝗽𝗺 𝗱𝗮 𝗠𝗮𝘀𝘁𝗿𝗮 𝗰𝗼𝗺𝗽𝗿𝗼𝗺𝗲𝘁𝗶𝗱𝗼𝘀
Um grande ataque à cadeia de suprimentos atingiu o ecossistema JavaScript. Atacantes sequestraram uma conta de colaborador do npm chamada ehindero. Eles usaram esse acesso para publicar atualizações maliciosas em 144 pacotes sob o namespace @mastra.
Mastra é um framework popular para a construção de aplicações de IA. Esta violação coloca produtos de IA em alto risco.
Como o ataque funcionou:
- Atacantes roubaram credenciais ou usaram phishing para assumir o controle de uma conta de colaborador.
- Eles contornaram as revisões de código usando permissões legítimas da conta.
- Eles publicaram código envenenado diretamente em bibliotecas confiáveis.
- Usuários subsequentes baixaram automaticamente esse código malicioso durante instalações ou atualizações.
Riscos para suas aplicações de IA:
- Roubo de chaves de API e credenciais sensíveis.
- Alterações no comportamento do modelo de IA para produzir resultados inseguros.
- Código malicioso sendo executado em seus pipelines de CI/CD ou ambientes de nuvem.
O que você deve fazer agora:
- Audite suas dependências. Execute
npm ls | grep "@mastra/"para encontrar os pacotes afetados. - Verifique vulnerabilidades conhecidas. Use o npm audit ou scanners de terceiros.
- Fixe suas versões. Não use wildcards. Force seu package.json a usar uma versão segura conhecida.
- Remova os pacotes comprometidos imediatamente.
A segurança no código aberto depende da segurança das contas. Uma única conta comprometida pode envenenar milhares de projetos. Proteja sua cadeia de suprimentos aplicando a autenticação de múltiplos fatores e realizando auditorias regulares de dependências.
Verifique suas dependências hoje.
Comunidade de aprendizado opcional: https://t.me/GyaanSetuAi