144 пакетов npm из пространства имен Mastra скомпрометированы из-за взлома учетной записи участника
Недавно было выявлено, что 144 пакета npm, связанных с пространством имен Mastra ('@mastra/*'), подверглись компрометации в результате атаки на цепочку поставок программного обеспечения, получившей кодовое название easy-day-js. Эта информация была предоставлена компаниями Endor Labs, JFrog, SafeDep, Socket и StepSecurity.
Mastra представляет собой популярный фреймворк с открытым исходным кодом для разработки приложений в области искусственного интеллекта на языках JavaScript и TypeScript. Компрометация пакетов может серьезно повлиять на разработчиков, использующих этот инструмент, так как они рискуют внедрить уязвимый код в свои проекты.
Атака произошла через взлом учетной записи одного из участников npm, известной под именем ehindero. Злоумышленники получили доступ к этой учетной записи и смогли изменять содержимое пакетов, что поставило под угрозу безопасность множества приложений, использующих эти библиотеки.
Специалисты по кибербезопасности рекомендуют разработчикам, использующим пакеты из пространства имен Mastra, немедленно проверить свои проекты на наличие уязвимостей и обновить зависимости. Также стоит обратить внимание на источники пакетов и использовать только проверенные библиотеки.
В ответ на инцидент, команды по безопасности компаний, связанных с npm, работают над восстановлением безопасности пакетов и минимизацией последствий атаки. Тем не менее, этот случай подчеркивает важность соблюдения мер предосторожности при работе с открытым исходным кодом и необходимостью защиты учетных записей разработчиков.
Киберэксперты подчеркивают, что подобные атаки на цепочку поставок становятся все более распространенными, и разработчикам следует уделять особое внимание безопасности своих проектов, чтобы избежать возможных угроз в будущем.