𝟭𝟰𝟰 𝗣𝗮𝗸𝗶𝘁𝗶 za Mastra npm Zimeathiriwa

Shambulio kubwa la mnyororo wa ugavi wa programu (software supply chain attack) limetokea hivi punde katika mfumo wa JavaScript.

Washambuliaji waliteka akaunti moja ya mchangiaji wa npm. Walitumia ufikiaji huu kuchapisha sasisho zenye madhara kwenye pakiti 144 tofauti chini ya jina la @mastra.

Mastra ni mfumo (framework) maarufu wa kujenga programu za AI. Hii inamaanisha hatari hiyo inaenea moja kwa moja kwenye zana za AI unazojenga na kuzitumia.

Shambulio hilo, linalojulikana kama easy-day-js, hufanya kazi kwa kuchafua maktaba (libraries) zinazoaminika. Kwa sababu mshambuliaji alikuwa na ruhusa za kiwango cha akaunti, waliepuka ukaguzi wa kawaida. Unapofanya install au upgrade, unaweza kupata kodi yenye madhara bila kujua.

Hatari zinajumuisha:

Lazima uchukue hatua haraka ili kulinda miradi yako. Fuata hatua hizi:

  1. Kagua utegemezi (dependencies) zako mara moja. Tekeleza amri hii ili kupata pakiti yoyote ya @mastra kwenye mradi wako: npm ls --all | grep "@mastra/"

  2. Tumia skana za usalama. Tekeleza npm audit ili kuangalia udhaifu unaojulikana. Tumia zana kama Socket au JFrog kufuatilia tahadhari za moja kwa moja.

  3. Weka matoleo yako mahususi (Pin your versions). Usitumie alama za wildcard kwenye package.json. Funga utegemezi wako kwenye toleo maalum na salama ili kuzuia sasisho za kiotomatiki za kodi iliyochafuliwa.

  4. Badilisha sifa zako za ufikiaji (Rotate your credentials). Ikiwa unahisi kuna uvamizi, badilisha funguo na siri zako mara moja.

  5. Simamia 2FA. Ikiwa unasimamia pakiti za npm, tumia uthibitishaji wa hatua nyingi (multi-factor authentication) kwa akaunti zote za wachangiaji.

Mfumo wa uaminifu wa chanzo huru (open-source) ni dhaifu. Akaunti moja iliyoathiriwa inaweza kuathiri maelfu ya watengenezaji. Usisubiri. Kagua mti wako wa utegemezi (dependency tree) leo.

Chanzo: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif