𝟭𝟰𝟰 个 Mastra npm 包遭到破坏
一场重大的软件供应链攻击刚刚袭击了 JavaScript 生态系统。
攻击者劫持了一个 npm 贡献者账号。他们利用这一权限,在 @mastra 命名空间下发布了 144 个不同包的恶意更新。
Mastra 是一个用于构建 AI 应用的热门框架。这意味着风险会直接蔓延到你构建和使用的 AI 工具中。
这次名为 easy-day-js 的攻击通过污染受信任的库来实施。由于攻击者拥有账号级别的权限,他们绕过了常规审查。当你运行安装或升级命令时,可能会在不知情的情况下引入恶意代码。
风险包括:
- 窃取你的 API 密钥和凭据。
- 改变你的 AI 模型的行为。
- 获取你 CI/CD 流水线的访问权限。
- 在你的云环境中进行横向移动。
你必须迅速行动以保护你的项目。请遵循以下步骤:
立即审计你的依赖项。 运行此命令来查找项目中任何 @mastra 包: npm ls --all | grep "@mastra/"
使用安全扫描器。 运行 npm audit 来检查已知漏洞。使用 Socket 或 JFrog 等工具来监控实时警报。
锁定你的版本。 不要在 package.json 中使用通配符。将你的依赖项锁定在特定的安全版本,以防止自动更新到被污染的代码。
更换你的凭据。 如果你怀疑发生了泄露,请立即更改你的密钥和机密信息。
强制执行 2FA。 如果你管理 npm 包,请为所有贡献者账号使用多因素身份验证。
开源信任模型是脆弱的。一个被攻破的账号可能会影响成千上万的开发者。不要等待,今天就检查你的依赖树。