𝟭𝟰𝟰 Mastra npm ప్యాకేజీలు ప్రమాదంలో ఉన్నాయి

JavaScript ఎకోసిస్టమ్‌పై ఒక పెద్ద సాఫ్ట్‌వేర్ సప్లై చైన్ దాడి జరిగింది.

దాడి చేసిన వారు ఒకే ఒక npm కంట్రిబ్యూటర్ ఖాతాను హ్యాక్ చేశారు. ఈ యాక్సెస్‌ను ఉపయోగించి, వారు @mastra నేమ్‌స్పేస్ కింద ఉన్న 144 వేర్వేరు ప్యాకేజీలకు హానికరమైన అప్‌డేట్‌లను పబ్లిష్ చేశారు.

Mastra అనేది AI అప్లికేషన్‌లను రూపొందించడానికి ఉపయోగించే ఒక ప్రముఖ ఫ్రేమ్‌వర్క్. దీని అర్థం, మీరు తయారు చేసే మరియు ఉపయోగించే AI టూల్స్‌లోకి ఈ ప్రమాదం నేరుగా వ్యాపిస్తుంది.

easy-day-js అని పిలువబడే ఈ దాడి, నమ్మకమైన లైబ్రరీలను విషపూరితం (poisoning) చేయడం ద్వారా పనిచేస్తుంది. దాడి చేసిన వారికి ఖాతా స్థాయి అనుమతులు (account-level permissions) ఉండటం వల్ల, వారు సాధారణ రివ్యూలను దాటవేసి పంపగలిగారు. మీరు ఇన్‌స్టాల్ లేదా అప్‌గ్రేడ్ చేసినప్పుడు, తెలియకుండానే హానికరమైన కోడ్‌ను మీ సిస్టమ్‌లోకి తెచ్చుకునే అవకాశం ఉంది.

ప్రమాదాలు ఇవి:

మీ ప్రాజెక్ట్‌లను రక్షించుకోవడానికి మీరు వేగంగా స్పందించాలి. ఈ దశలను అనుసరించండి:

  1. మీ డిపెండెన్సీలను వెంటనే ఆడిట్ చేయండి. మీ ప్రాజెక్ట్‌లో ఏవైనా @mastra ప్యాకేజీలు ఉన్నాయో తెలుసుకోవడానికి ఈ కమాండ్‌ను రన్ చేయండి: npm ls --all | grep "@mastra/"

  2. సెక్యూరిటీ స్కానర్‌లను ఉపయోగించండి. తెలిసిన లోపాలను (vulnerabilities) తనిఖీ చేయడానికి npm audit రన్ చేయండి. లైవ్ అలర్ట్‌లను పర్యవేక్షించడానికి Socket లేదా JFrog వంటి సాధనాలను ఉపయోగించండి.

  3. మీ వెర్షన్‌లను పిన్ (Pin) చేయండి. మీ package.jsonలో వైల్డ్‌కార్డ్స్ (wildcards) ఉపయోగించకండి. విషపూరిత కోడ్‌కు ఆటోమేటిక్ అప్‌డేట్‌లు కాకుండా ఉండటానికి, మీ డిపెండెన్సీలను ఒక నిర్దిష్టమైన, సురక్షితమైన వెర్షన్‌కు లాక్ చేయండి.

  4. మీ క్రెడెన్షియల్స్‌ను రోటేట్ చేయండి. బ్రీచ్ జరిగినట్లు మీకు అనుమానం ఉంటే, మీ కీలు మరియు సీక్రెట్‌లను వెంటనే మార్చండి.

  5. 2FAను తప్పనిసరి చేయండి. మీరు npm ప్యాకేజీలను నిర్వహిస్తుంటే, అన్ని కంట్రిబ్యూటర్ ఖాతాలకు మల్టీ-ఫ్యాక్టర్ అథెంటికేషన్‌ను ఉపయోగించండి.

ఓపెన్-సోర్స్ ట్రస్ట్ మోడల్ చాలా సున్నితమైనది. ఒకే ఒక హ్యాక్ చేయబడిన ఖాతా వేలాది మంది డెవలపర్లను ప్రభావితం చేయగలదు. ఆలస్యం చేయకండి. ఈరోజే మీ డిపెండెన్సీ ట్రీని తనిఖీ చేయండి.

మూలం: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif