𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

𝟭𝟰𝟰 Mastra npm தொகுப்புகள் (packages) பாதிக்கப்பட்டுள்ளன

JavaScript சூழலில் (ecosystem) ஒரு பெரிய விநியோகச் சங்கிலித் தாக்குதல் (supply chain attack) ஏற்பட்டுள்ளது. தாக்குதல் நடத்தியவர்கள் ehindero என்ற பெயருடைய npm பங்களிப்பாளர் (contributor) கணக்கைக் கைப்பற்றினர். இந்த அணுகலைப் பயன்படுத்தி, @mastra namespace-ன் கீழ் உள்ள 144 தொகுப்புகளுக்குத் தீங்கிழைக்கும் புதுப்பிப்புகளை (malicious updates) அவர்கள் வெளியிட்டனர்.

Mastra என்பது AI பயன்பாடுகளை உருவாக்குவதற்கான ஒரு பிரபலமான framework ஆகும். இந்தத் தரவு மீறல் (breach) AI தயாரிப்புகளை அதிக ஆபத்தில் உள்ளதாக்குகிறது.

தாக்குதல் எவ்வாறு செயல்பட்டது:

• தாக்குதல் நடத்தியவர்கள் கடவுச்சொற்களைத் (credentials) திருடி அல்லது ஃபிஷிங் (phishing) முறையைப் பயன்படுத்தி ஒரு பங்களிப்பாளர் கணக்கைக் கைப்பற்றினர்.
• முறையான கணக்கு அனுமதிகளைப் (account permissions) பயன்படுத்தி அவர்கள் குறியீடு ஆய்வுகளைத் (code reviews) தவிர்த்தனர்.
• அவர்கள் நம்பகமான நூலகங்களுக்கு (libraries) நேரடியாக நச்சுத்தன்மை வாய்ந்த குறியீட்டை (poisoned code) வெளியிட்டனர்.
• நிறுவல்கள் (installs) அல்லது மேம்படுத்தல்களின் (upgrades) போது, பயனர்கள் தானாகவே இந்தத் தீங்கிழைக்கும் குறியீட்டைப் பெற்றுக்கொண்டனர்.

உங்கள் AI பயன்பாடுகளுக்கான அபாயங்கள்:

• API சாவிகள் (keys) மற்றும் முக்கியமான கடவுச்சொற்கள் (sensitive credentials) திருடப்படலாம்.
• பாதுகாப்பற்ற வெளியீடுகளை (unsafe outputs) உருவாக்கும் வகையில் AI மாடலின் செயல்பாட்டில் மாற்றங்கள் செய்யப்படலாம்.
• உங்கள் CI/CD 파யப்லைன்கள் (pipelines) அல்லது கிளவுட் சூழல்களில் (cloud environments) தீங்கிழைக்கும் குறியீடு இயங்கக்கூடும்.

நீங்கள் இப்போது செய்ய வேண்டியவை:

• உங்கள் சார்புகளை (dependencies) தணிக்கை (audit) செய்யுங்கள். பாதிக்கப்பட்ட தொகுப்புகளைக் கண்டறிய npm ls | grep "@mastra/" என்பதை இயக்கவும்.
• அறியப்பட்ட பாதிப்புகளை (vulnerabilities) சரிபார்க்கவும். npm audit அல்லது மூன்றாம் தரப்பு ஸ்கேனர்களைப் (third-party scanners) பயன்படுத்தவும்.
• உங்கள் பதிப்புகளை (versions) நிலையானதாக (pin) வைத்திருங்கள். வைல்ட்கார்டுகளை (wildcards) பயன்படுத்த வேண்டாம். உங்கள் package.json கோப்பு அறியப்பட்ட பாதுகாப்பான பதிப்பைப் பயன்படுத்துவதை உறுதிசெய்யுங்கள்.
• பாதிக்கப்பட்ட தொகுப்புகளை உடனடியாக நீக்கவும்.

திறந்த மூல மென்பொருளின் (open source) பாதுகாப்பு என்பது கணக்கின் பாதுகாப்பைப் பொறுத்தது. ஒரு கணக்கு பாதிக்கப்பட்டால் அது ஆயிரக்கணக்கான திட்டங்களைப் (projects) பாதிக்கலாம். மல்டி-ஃபேக்டர் அங்கீகாரத்தை (multi-factor authentication) அமல்படுத்துவதன் மூலமும், வழக்கமான சார்புத் தணிக்கைகளை (dependency audits) மேற்கொள்வதன் மூலமும் உங்கள் விநியோகச் சங்கிலியைப் பாதுகாக்கவும்.

இன்று உங்கள் சார்புகளைச் சரிபார்க்கவும்.

மூலம்: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif

விருப்பமான கற்றல் சமூகம்: https://t.me/GyaanSetuAi