𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗰𝗸𝗮𝗴𝗲𝘀 𝗖𝗼𝗺𝗽𝗿𝗼𝗺𝗶𝘀𝗲𝗱

𝟭𝟰𝟰 Mastra npm பேக்கேஜ்கள் பாதிக்கப்பட்டுள்ளன

JavaScript சூழலில் ஒரு பெரிய மென்பொருள் விநியோகச் சங்கிலித் தாக்குதல் (software supply chain attack) நிகழ்ந்துள்ளது.

தாக்குதல் நடத்தியவர்கள் ஒரு npm பங்களிப்பாளர் கணக்கை (contributor account) கைப்பற்றினர். இந்த அணுகலைப் பயன்படுத்தி, @mastra namespace-ன் கீழ் உள்ள 144 வெவ்வேறு பேக்கேஜ்களுக்குத் தீங்கிழைக்கும் அப்டேட்களை (malicious updates) அவர்கள் வெளியிட்டனர்.

Mastra என்பது AI செயலிகளை உருவாக்குவதற்கான ஒரு பிரபலமான framework ஆகும். இதன் பொருள், நீங்கள் உருவாக்கும் மற்றும் பயன்படுத்தும் AI கருவிகளுக்கே இந்த ஆபத்து நேரடியாகப் பரவுகிறது என்பதாகும்.

easy-day-js என்று அழைக்கப்படும் இந்தத் தாக்குதல், நம்பகமான லைப்ரரிகளை (libraries) நச்சுத்தன்மை வாய்ந்ததாக மாற்றுவதன் மூலம் செயல்படுகிறது. தாக்குதல் நடத்தியவருக்கு கணக்கு அளவிலான அனுமதிகள் (account-level permissions) இருந்ததால், அவர்கள் சாதாரண ஆய்வுகளைத் (reviews) தவிர்த்துவிட்டனர். நீங்கள் ஒரு install அல்லது upgrade செய்யும்போது, தெரியாமலேயே தீங்கிழைக்கும் குறியீட்டை (malicious code) உங்கள் கணினியில் பதிவிறக்கம் செய்யக்கூடும்.

இதன் ஆபத்துகள்:

• உங்கள் API சாவிகள் (keys) மற்றும் சான்றுகளை (credentials) திருடுதல்.
• உங்கள் AI மாடல்கள் செயல்படும் விதத்தை மாற்றுதல்.
• உங்கள் CI/CD పైప్‌லைன்களுக்கு (pipelines) அணுகலைப் பெறுதல்.
• உங்கள் கிளவுட் சூழல்களில் (cloud environments) ஊடுருவிச் செல்லுதல்.

உங்கள் திட்டங்களைப் பாதுகாக்க நீங்கள் விரைவாகச் செயல்பட வேண்டும். இந்த வழிமுறைகளைப் பின்பற்றவும்:

1. உங்கள் சார்புகளை (dependencies) உடனடியாகத் தணிக்கை (audit) செய்யுங்கள். உங்கள் திட்டத்தில் உள்ள @mastra பேக்கேஜ்களைக் கண்டறிய இந்தத் கட்டளையை இயக்கவும்: npm ls --all | grep "@mastra/"

2. பாதுகாப்பு ஸ்கேனர்களைப் (security scanners) பயன்படுத்துங்கள். அறியப்பட்ட பாதிப்புகளைச் (vulnerabilities) சரிபார்க்க npm audit ஐ இயக்கவும். நேரலை எச்சரிக்கைகளைக் கண்காணிக்க Socket அல்லது JFrog போன்ற கருவிகளைப் பயன்படுத்தவும்.

3. உங்கள் பதிப்புகளை (versions) நிலையானதாக வைத்திருங்கள் (Pin). உங்கள் package.json கோப்பில் wildcards-களைப் பயன்படுத்த வேண்டாம். நச்சுத்தன்மை வாய்ந்த குறியீடுகளுக்குத் தானாக அப்டேட் ஆவதைத் தடுக்க, உங்கள் சார்புகளை ஒரு குறிப்பிட்ட, பாதுகாப்பான பதிப்பிற்கு (specific, safe version) லாக் (lock) செய்யுங்கள்.

4. உங்கள் சான்றுகளை மாற்றவும் (Rotate your credentials). உங்கள் கணக்கு ஊடுருவப்பட்டதாக நீங்கள் சந்தேகிக்க நேர்ந்தால், உங்கள் சாவிகள் (keys) மற்றும் ரகசியங்களை (secrets) உடனடியாக மாற்றவும்.

5. 2FA-வை நடைமுறைப்படுத்துங்கள். நீங்கள் npm பேக்கேஜ்களை நிர்வகிப்பவர் என்றால், அனைத்து பங்களிப்பாளர் கணக்குகளுக்கும் மல்டி-ஃபேக்டர் அங்கீகாரத்தைப் (multi-factor authentication) பயன்படுத்தவும்.

ஓப்பன் சோர்ஸ் (open-source) நம்பிக்கை மாதிரி மிகவும் பலவீனமானது. ஒரு ஊடுருவப்பட்ட கணக்கு ஆயிரக்கணக்கான டெவலப்பர்களைப் பாதிக்கலாம். தாமதிக்க வேண்டாம். இன்று உங்கள் dependency tree-ஐச் சரிபார்க்கவும்.

ஆதாரம்: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif