𝟭𝟰𝟰 𝗠𝗮𝘀𝘁𝗿𝗮 𝗡𝗽𝗺 𝗣𝗮𝗸𝗲𝘁𝗶 𝗘𝗹𝗲 𝗚𝗲𝗰𝗶𝗿𝗶𝗹𝗱𝗶

JavaScript ekosistemi büyük bir yazılım tedarik zinciri saldırısına maruz kaldı.

Saldırganlar tek bir npm katkıda bulunucu hesabını ele geçirdi. Bu erişimi, @mastra ad alanı (namespace) altındaki 144 farklı pakete kötü amaçlı güncellemeler yayınlamak için kullandılar.

Mastra, yapay zeka uygulamaları geliştirmek için popüler bir framework'tür. Bu, riskin doğrudan inşa ettiğiniz ve kullandığınız yapay zeka araçlarına yayıldığı anlamına gelir.

easy-day-js olarak bilinen saldırı, güvenilir kütüphaneleri zehirleyerek çalışıyor. Saldırgan hesap düzeyinde izinlere sahip olduğu için normal inceleme süreçlerini atladı. Bir yükleme (install) veya yükseltme (upgrade) çalıştırdığınızda, farkında olmadan kötü amaçlı kodları sisteminize çekebilirsiniz.

Riskler şunları içerir:

Projelerinizi korumak için hızlı hareket etmelisiniz. Şu adımları izleyin:

  1. Bağımlılıklarınızı (dependencies) hemen denetleyin. Projenizdeki herhangi bir @mastra paketini bulmak için şu komutu çalıştırın: npm ls --all | grep "@mastra/"

  2. Güvenlik tarayıcıları kullanın. Bilinen güvenlik açıklarını kontrol etmek için npm audit komutunu çalıştırın. Canlı uyarıları izlemek için Socket veya JFrog gibi araçlar kullanın.

  3. Versiyonlarınızı sabitleyin (pin). package.json dosyanızda wildcard (joker karakter) kullanmayın. Zehirli koda otomatik güncellemeleri önlemek için bağımlılıklarınızı belirli, güvenli bir versiyona kilitleyin.

  4. Kimlik bilgilerinizi yenileyin (rotate). Bir ihlalden şüpheleniyorsanız, anahtarlarınızı ve gizli bilgilerinizi (secrets) derhal değiştirin.

  5. 2FA'yı zorunlu kılın. Eğer npm paketlerini yönetiyorsanız, tüm katkıda bulunucu hesapları için çok faktörlü kimlik doğrulama (MFA) kullanın.

Açık kaynak güven modeli kırılgandır. Ele geçirilen tek bir hesap, binlerce geliştiriciyi etkileyebilir. Beklemeyin. Bağımlılık ağacınızı (dependency tree) bugün kontrol edin.

Kaynak: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-major-software-supply-chain-attack-5fif