144 pacotes npm da Mastra comprometidos
Um grande ataque à cadeia de suprimentos de software acaba de atingir o ecossistema de IA do JavaScript.
Atacantes comprometeram 144 pacotes npm sob o namespace @mastra. Este evento, conhecido como easy-day-js, ocorreu porque uma única conta de colaborador foi sequestrada.
Quando uma conta de confiança cai, o dano se espalha rápido. Uma violação permitiu que o atacante publicasse versões maliciosas de quase todos os principais pacotes da Mastra. Isso coloca desenvolvedores de IA e equipes corporativas em risco.
Como o ataque funcionou:
- Um atacante assumiu o controle de uma conta npm legítima.
- Eles usaram essas credenciais para publicar código malicioso em todo o namespace @mastra.
- O atacante lançou 144 pacotes em rápida sucessão.
- A maioria dos sistemas automatizados viu isso como atualizações de rotina.
O risco é alto. Códigos maliciosos podem roubar chaves de API, credenciais de desenvolvedores ou dados de usuários. Também podem quebrar seus builds ou introduzir bugs.
Como proteger seus projetos:
- Audite suas dependências. Execute
npm auditpara verificar sua árvore. - Verifique o histórico de versões. Procure por surtos repentinos de novos lançamentos.
- Use ferramentas de varredura. Ferramentas como Socket ou JFrog ajudam a detectar anomalias.
- Use lockfiles. Sempre use
package-lock.jsonounpm cipara manter seus builds estáveis. - Exija 2FA. Garanta que todos os seus colaboradores usem autenticação de dois fatores.
Se você usa qualquer pacote @mastra, verifique suas versões agora. Fixe suas dependências em versões seguras conhecidas imediatamente.
O código aberto depende da confiança. Você deve tratar cada nova atualização como um risco potencial.
Fonte: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
Comunidade de aprendizado opcional: https://t.me/GyaanSetuAi