Auf den Punkt: 144 npm-Pakete des Mastra-Frameworks wurden mit einem Infostealer infiziert, der beim Installieren Wallet- und Browserdaten klaut und bereits das hochfrequent genutzte Kernpaket betrifft.
Ein Angreifer hat 144 npm-Pakete des Open-Source-KI-Frameworks Mastra mit Schadcode infiziert, darunter das Kernpaket mit über 918.000 wöchentlichen Downloads. Die Malware stiehlt Wallet-Daten und Browserdaten bereits während der Installation.
Die Sicherheitsunternehmen JFrog, SafeDep, Socket und StepSecurity identifizierten am 17. Juni 2026 einen Lieferkettenangriff unter dem Codenamen „easy-day-js“. Der Angreifer übernahm das Konto des ehemaligen Entwicklers ehindero und veröffentlichte innerhalb kurzer Zeit 144 manipulierte Pakete im Mastra-Namensraum. Mastra ist ein JavaScript- und TypeScript-Framework zur Entwicklung von KI-Anwendungen. Die betroffenen Pakete selbst enthalten keinen direkten Schadcode, sondern verlinken auf die bösartige Abhängigkeit „easy-day-js“, die als Klon einer Standard-Datumsbibliothek getarnt ist.
Die Infektion wird während der Installation über ein Installationsskript ausgelöst. Das Skript deaktiviert zunächst die TLS-Zertifikatsvalidierung und lädt dann eine zweite Schadware-Stufe von einer externen IP-Adresse. Der Loader löscht sich danach selbst und hinterlässt minimale forensische Spuren. Das finale Schadprogramm funktioniert als plattformübergreifender Infostealer auf Windows, macOS und Linux. Es stiehlt den Browserverlauf sowie Anmeldedaten aus mehr als 160 Browser-Erweiterungen für Krypto-Wallets und übermittelt diese an die Angreifer.
Für CTOs ist die Reichweite des Angriffs kritisch: Das Paket core wird wöchentlich über 918.000 Mal heruntergeladen. Systeme sind bereits nach der Installation gefährdet, bevor Entwickler das Paket aktiv im Code einbinden. Die npm-Paketverwaltung hat die betroffenen Versionen bereits entfernt.
Das kompromittierte Konto ehindero verfügte über ein persönliches Token ohne Herkunftsnachweis. Reguläre Mastra-Releases erfolgen über automatisierte Prozesse mit kryptografischen Signaturen. Installationen mit erzwungener Signaturprüfung hätten die manipulierten Versionen blockiert. Sicherheitsforscher empfehlen betroffenen Entwicklern, sofort auf sichere Versionen zurückzugehen, Zugangsdaten zu wechseln und Systeme auf Infektionsspuren zu prüfen.
Quelle: www.it-daily.net · Erschienen 18. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.