144 Package npm Mastra bị xâm nhập
Một cuộc tấn công chuỗi cung ứng phần mềm lớn vừa nhắm vào hệ sinh thái AI JavaScript.
Những kẻ tấn công đã xâm nhập 144 package npm thuộc namespace @mastra. Sự kiện này, được gọi là easy-day-js, xảy ra do một tài khoản cộng tác viên duy nhất bị chiếm quyền điều khiển.
Khi một tài khoản đáng tin cậy bị chiếm đoạt, thiệt hại sẽ lan rộng rất nhanh. Một vụ xâm nhập đã cho phép kẻ tấn công phát hành các phiên bản độc hại của hầu hết các package Mastra quan trọng. Điều này gây rủi ro cho các nhà phát triển AI và các đội ngũ doanh nghiệp.
Cách thức cuộc tấn công diễn ra:
- Kẻ tấn công đã chiếm quyền kiểm soát một tài khoản npm hợp lệ.
- Chúng sử dụng các thông tin đăng nhập này để phát hành mã độc trên toàn bộ namespace @mastra.
- Kẻ tấn công đã phát hành 144 package liên tiếp trong thời gian ngắn.
- Hầu hết các hệ thống tự động đều coi đây là các bản cập nhật định kỳ.
Rủi ro là rất cao. Mã độc có thể đánh cắp API keys, thông tin đăng nhập của nhà phát triển hoặc dữ liệu người dùng. Nó cũng có thể làm hỏng các bản build của bạn hoặc gây ra lỗi.
Cách bảo vệ dự án của bạn:
- Kiểm tra các dependency của bạn. Chạy
npm auditđể kiểm tra cây phụ thuộc. - Kiểm tra lịch sử phiên bản. Hãy chú ý đến những đợt phát hành mới xuất hiện đột ngột.
- Sử dụng các công cụ quét. Các công cụ như Socket hoặc JFrog giúp phát hiện các điểm bất thường.
- Sử dụng lockfiles. Luôn sử dụng
package-lock.jsonhoặcnpm ciđể giữ cho các bản build của bạn ổn định. - Áp dụng 2FA. Đảm bảo tất cả các cộng tác viên của bạn đều sử dụng xác thực hai yếu tố.
Nếu bạn đang sử dụng bất kỳ package @mastra nào, hãy kiểm tra phiên bản của mình ngay bây giờ. Hãy cố định (pin) các dependency của bạn ở các phiên bản an toàn đã biết ngay lập tức.
Mã nguồn mở dựa trên sự tin tưởng. Bạn phải coi mọi bản cập nhật mới đều là một rủi ro tiềm ẩn.
Nguồn: https://dev.to/davekurian/144-mastra-npm-packages-compromised-in-software-supply-chain-attack-4ddn
Cộng đồng học tập tùy chọn: https://t.me/GyaanSetuAi