144 Pakiti za Mastra npm Zimeingiliwa
Shambulio kubwa la mnyororo wa ugavi wa programu (software supply chain attack) limetokea hivi punde kwenye mfumo wa AI wa JavaScript.
Washambuliaji waliingilia pakiti 144 za npm chini ya jina la @mastra. Tukio hili, linalojulikana kama easy-day-js, lilitokea kwa sababu akaunti moja ya mchangiaji (contributor) ilinyakuliwa.
Akaunti inayofahamika inapoingiliwa, madhara husambaa haraka. Uvunjifu mmoja ulimruhusu mshambuliaji kuchapisha matoleo yenye madhara ya karibu kila pakiti kuu ya Mastra. Hii inawaweka watengenezaji wa AI na timu za mashirika hatarini.
Jinsi shambulio lilivyofanya kazi:
- Mshambuliaji alichukua udhibiti wa akaunti halali ya npm.
- Walitumia taarifa hizi za siri (credentials) kuchapisha kodi yenye madhara katika jina lote la @mastra.
- Mshambuliaji alitoa pakiti 144 kwa mfuatano wa haraka.
- Mifumo mingi ya kiotomatiki iliona hizi kama maboresho ya kawaida (routine updates).
Hatari ni kubwa. Kodi yenye madhara inaweza kuiba funguo za API, taarifa za siri za watengenezaji, au data za watumiaji. Pia inaweza kuharibu ujenzi wako wa programu (builds) au kuleta hitilafu (bugs).
Jinsi ya kulinda miradi yako:
- Kagua utegemezi wako (dependencies). Run
npm auditili kuangalia muundo wako. - Angalia historia ya matoleo. Tafuta mfululizo wa ghafla wa matoleo mapya.
- Tumia zana za ukaguzi. Zana kama Socket au JFrog husaidia kugundua mambo yasiyo ya kawaida.
- Tumia lockfiles. Daima tumia
package-lock.jsonaunpm ciili kuweka ujenzi wako wa programu (builds) kuwa thabiti. - Simamia 2FA. Hakikisha mchangiaji wako wote wanatumia uthibitishaji wa hatua mbili (two-factor authentication).
Ikiwa unatumia pakiti yoyote ya @mastra, kagua matoleo yako sasa hivi. Weka utegemezi wako (dependencies) kwenye matoleo salama yanayojulikana mara moja.
Programu huru (Open source) inategemea uaminifu. Lazima uchukulie kila toleo jipya kama hatari inayoweza kutokea.
Chanzo: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
Jumuiya ya kujifunzia ya hiari: https://t.me/GyaanSetuAi