𝟭𝟰𝟰 แพ็กเกจ Mastra npm ถูกเจาะระบบ
การโจมตีห่วงโซ่อุปทานซอฟต์แวร์ (software supply chain attack) ครั้งใหญ่เพิ่งเกิดขึ้นกับระบบนิเวศ AI ของ JavaScript
ผู้โจมตีได้เจาะระบบแพ็กเกจ npm จำนวน 144 แพ็กเกจภายใต้ namespace @mastra เหตุการณ์นี้ซึ่งเป็นที่รู้จักในชื่อ easy-day-js เกิดขึ้นเนื่องจากบัญชีผู้ร่วมพัฒนา (contributor) เพียงบัญชีเดียวถูกแฮ็ก
เมื่อบัญชีที่ได้รับความไว้วางใจถูกเจาะ ความเสียหายจะแพร่กระจายอย่างรวดเร็ว การบุกรุกเพียงครั้งเดียวทำให้ผู้โจมตีสามารถเผยแพร่แพ็กเกจเวอร์ชันที่มีมัลแวร์ของเกือบทุกแพ็กเกจหลักใน Mastra ซึ่งทำให้เหล่านักพัฒนา AI และทีมระดับองค์กรตกอยู่ในความเสี่ยง
วิธีการโจมตี:
- ผู้โจมตีเข้าควบคุมบัญชี npm ที่ถูกต้อง
- พวกเขาใช้ข้อมูลประจำตัวเหล่านี้เพื่อเผยแพร่โค้ดอันตรายไปทั่วทั้ง @mastra namespace
- ผู้โจมตีปล่อยแพ็กเกจ 144 แพ็กเกจออกมาอย่างต่อเนื่องในเวลาอันรวดเร็ว
- ระบบอัตโนมัติส่วนใหญ่เห็นว่าสิ่งเหล่านี้เป็นการอัปเดตตามปกติ
ความเสี่ยงนั้นสูงมาก โค้ดอันตรายสามารถขโมย API keys, ข้อมูลประจำตัวของนัก