🌟 Atualização imperdível para quem gosta de estar bem informado!
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Até 144 pacotes npm associados ao namespace Mastra ("@mastra/*"), uma popular estrutura JavaScript e TypeScript de código aberto para a construção de aplicativos de inteligência artificial (IA), foram comprometidos como parte de um ataque à cadeia de suprimentos de software com codinome easy-day-js, de acordo com descobertas de JFrog, SafeDep, Socket e StepSecurity.
“Uma única conta npm (ehindero) publicou em massa mais de 140 pacotes maliciosos em todo o escopo Mastra em um curto período em 17/06/2026”, disse Socket.
Os próprios pacotes infectados não incluem código malicioso. Em vez disso, ele é introduzido por meio de uma biblioteca de terceiros chamada “easy-day-js” que foi adicionada à lista de dependências de cada pacote no que foi descrito como uma campanha de publicação automatizada que dura 88 minutos.
Em sua análise, SafeDep descreveu “easy-day-js” como um clone da biblioteca de datas “dayjs” que baixa e executa um trojan de acesso remoto para roubo de criptomoedas. A biblioteca JavaScript foi publicada por um usuário npm chamado "sergey2016" em 16 de junho de 2026, às 7h05 UTC, como uma cópia limpa e totalmente funcional, com as alterações maliciosas introduzidas em 17 de junho de 2026, às 1h01 UTC.
“Como a Mastra está na interseção do desenvolvimento de IA e da infraestrutura em nuvem, seus pacotes são rotineiramente instalados em ambientes que possuem algumas das credenciais mais confidenciais no desenvolvimento de software moderno”, disse StepSecurity. “Isso torna o ecossistema Mastra um alvo de valor excepcionalmente alto para invasores da cadeia de suprimentos.”
O pacote "easy-day-js" lança uma carga útil ofuscada que é disparada durante um gancho pós-instalação, que atua como um dropper ou carregador para uma carga útil de segundo estágio recuperada da infraestrutura controlada pelo invasor ("23.254.164[.]92") após desabilitar a validação do certificado TLS.
A carga útil é então executada como um processo em segundo plano separado, após o qual o carregador toma medidas para se apagar e minimizar a trilha forense.
O estágio final é um ladrão de informações de plataforma cruzada que pode coletar o histórico do navegador, armazenar dados de mais de 160 extensões de navegador de carteira de criptomoeda, instalar persistência no Windows, macOS e Linux e exfiltrar as informações capturadas para um servidor de comando e controle (C2) ("23.254.164[.]123").
O malware também é capaz de sondar o servidor C2 para receber comandos, incluindo o download de um módulo de uma URL fornecida pelo invasor e sua execução em sistemas Windows, Linux e macOS.
“O malware combinou técnicas familiares da cadeia de suprimentos com furtividade prática: uma versão isca limpa, um carregador pós-instalação ofuscado, download de carga útil em tempo de execução, execução desanexada, autoexclusão, persistência com tema Node e um sistema de módulo remoto”, disse JFrog.
"Mesmo que o pacote do primeiro estágio seja removido após a instalação, o processo do segundo estágio pode continuar em execução e já ter a persistência instalada. Esta campanha mostra como uma pequena mudança na dependência pode se tornar um comprometimento no tempo de instalação em um grande ecossistema de pacotes."
Diz-se que os atacantes por trás da campanha sequestraram a conta “ehindero”, um ex-colaborador legítimo do Mastra cujo acesso ao escopo nunca foi revogado. Desde então, o Npm retirou as versões maliciosas dos pacotes de maior perfil e reverteu sua tag mais recente.
Fonte da imagem: StepSecurity
“A Mastra envia seus lançamentos reais da CI por meio do fluxo de editor confiável do npm, e cada um carrega atestados de proveniência SLSA”, disse SafeDep. “O invasor empurrou as versões maliciosas de um token pessoal e retirou a procedência.”
"A mesma impressão digital se repete em todo o escopo. Mastra gerou proveniência nas publicações de CI, mas não a exigiu, portanto, um token npm padrão ainda poderia ser publicado sem atestados. Uma instalação de verificação de assinatura (assinaturas de auditoria npm ou uma política que requer atestados) teria rejeitado todos os pacotes nesta onda."
Qualquer estação de trabalho, executor de CI ou ambiente de compilação que instalou as versões afetadas deve ser tratado como potencialmente comprometido. É aconselhável reverter para uma versão segura, alternar quaisquer credenciais e auditar os hosts em busca de quaisquer artefatos vinculados à campanha.
“Os pacotes afetados incluem @mastra/core, que recebe mais de 918 mil downloads npm semanais, dando a esta campanha um grande raio potencial de explosão”, disse Socket. "Como a carga útil é executada durante a instalação, os sistemas podem ser expostos antes que os desenvolvedores importem ou usem o pacote."
“Uma única conta npm (ehindero) publicou em massa mais de 140 pacotes maliciosos em todo o escopo Mastra em um curto período em 17/06/2026”, disse Socket.
Os próprios pacotes infectados não incluem código malicioso. Em vez disso, ele é introduzido por meio de uma biblioteca de terceiros chamada “easy-day-js” que foi adicionada à lista de dependências de cada pacote no que foi descrito como uma campanha de publicação automatizada que dura 88 minutos.
Em sua análise, SafeDep descreveu “easy-day-js” como um clone da biblioteca de datas “dayjs” que baixa e executa um trojan de acesso remoto para roubo de criptomoedas. A biblioteca JavaScript foi publicada por um usuário npm chamado "sergey2016" em 16 de junho de 2026, às 7h05 UTC, como uma cópia limpa e totalmente funcional, com as alterações maliciosas introduzidas em 17 de junho de 2026, às 1h01 UTC.
“Como a Mastra está na interseção do desenvolvimento de IA e da infraestrutura em nuvem, seus pacotes são rotineiramente instalados em ambientes que possuem algumas das credenciais mais confidenciais no desenvolvimento de software moderno”, disse StepSecurity. “Isso torna o ecossistema Mastra um alvo de valor excepcionalmente alto para invasores da cadeia de suprimentos.”
O pacote "easy-day-js" lança uma carga útil ofuscada que é disparada durante um gancho pós-instalação, que atua como um dropper ou carregador para uma carga útil de segundo estágio recuperada da infraestrutura controlada pelo invasor ("23.254.164[.]92") após desabilitar a validação do certificado TLS.
A carga útil é então executada como um processo em segundo plano separado, após o qual o carregador toma medidas para se apagar e minimizar a trilha forense.
O estágio final é um ladrão de informações de plataforma cruzada que pode coletar o histórico do navegador, armazenar dados de mais de 160 extensões de navegador de carteira de criptomoeda, instalar persistência no Windows, macOS e Linux e exfiltrar as informações capturadas para um servidor de comando e controle (C2) ("23.254.164[.]123").
O malware também é capaz de sondar o servidor C2 para receber comandos, incluindo o download de um módulo de uma URL fornecida pelo invasor e sua execução em sistemas Windows, Linux e macOS.
“O malware combinou técnicas familiares da cadeia de suprimentos com furtividade prática: uma versão isca limpa, um carregador pós-instalação ofuscado, download de carga útil em tempo de execução, execução desanexada, autoexclusão, persistência com tema Node e um sistema de módulo remoto”, disse JFrog.
"Mesmo que o pacote do primeiro estágio seja removido após a instalação, o processo do segundo estágio pode continuar em execução e já ter a persistência instalada. Esta campanha mostra como uma pequena mudança na dependência pode se tornar um comprometimento no tempo de instalação em um grande ecossistema de pacotes."
Diz-se que os atacantes por trás da campanha sequestraram a conta “ehindero”, um ex-colaborador legítimo do Mastra cujo acesso ao escopo nunca foi revogado. Desde então, o Npm retirou as versões maliciosas dos pacotes de maior perfil e reverteu sua tag mais recente.
Fonte da imagem: StepSecurity
“A Mastra envia seus lançamentos reais da CI por meio do fluxo de editor confiável do npm, e cada um carrega atestados de proveniência SLSA”, disse SafeDep. “O invasor empurrou as versões maliciosas de um token pessoal e retirou a procedência.”
"A mesma impressão digital se repete em todo o escopo. Mastra gerou proveniência nas publicações de CI, mas não a exigiu, portanto, um token npm padrão ainda poderia ser publicado sem atestados. Uma instalação de verificação de assinatura (assinaturas de auditoria npm ou uma política que requer atestados) teria rejeitado todos os pacotes nesta onda."
Qualquer estação de trabalho, executor de CI ou ambiente de compilação que instalou as versões afetadas deve ser tratado como potencialmente comprometido. É aconselhável reverter para uma versão segura, alternar quaisquer credenciais e auditar os hosts em busca de quaisquer artefatos vinculados à campanha.
“Os pacotes afetados incluem @mastra/core, que recebe mais de 918 mil downloads npm semanais, dando a esta campanha um grande raio potencial de explosão”, disse Socket. "Como a carga útil é executada durante a instalação, os sistemas podem ser expostos antes que os desenvolvedores importem ou usem o pacote."
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #144 #pacotes #mastra #npm #comprometidos #por #meio #de #conta #de #colaborador #sequestrada
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário