Auf den Punkt: 144 npm-Pakete der KI-Entwickler-Plattform Mastra wurden über ein kapiertes Contributor-Konto mit bösartigem Code vergiftet.</tldr>
</invoke>
144 npm-Pakete des Mastra-Namespace (@mastra/*), eines populären Open-Source-Frameworks für KI-Anwendungen in JavaScript und TypeScript, wurden durch einen Supply-Chain-Angriff namens „easy-day-js" kompromittiert. Die Sicherheitsforschungsteams von JFrog, SafeDep, Socket und StepSecurity dokumentierten den Vorfall.
Ein einzelnes npm-Konto (ehindero) publizierte massenhaft manipulierte Versionen bekannter Mastra-Pakete. Da Mastra ein verbreitetes Framework für AI-Anwendungen ist, ist die Reichweite dieser Kompromittierung erheblich: Entwicklungsteams, die @mastra/*-Abhängigkeiten nutzen, könnten unbemerkt bösartigen Code in ihre Projekte integriert haben.
Supply-Chain-Attacken auf npm-Pakete sind für CTOs kritisch, weil sie die Vertrauenskette zwischen Entwicklung und Produktion unterbrechen. Ein gekaptertes Contributor-Konto erlaubt es Angreifern, legitim wirkende Updates zu veröffentlichen, ohne dass Maintainer es sofort bemerken. Besonders problematisch: Viele Organisationen prüfen nicht jedes Update auf verdächtigen Code, sondern aktualisieren automatisch.
Die detektive Arbeit mehrerer Sicherheitsanbieter zeigt, dass solche Angriffe nur durch kontinuierliche Überwachung von Package-Repositorys aufgedeckt werden. CTOs sollten ihre npm-Audit-Prozesse überprüfen, bekannte betroffene Versionen identifizieren und betroffene Abhängigkeiten neu auditieren.
Quelle: thehackernews.com · Erschienen 17. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.