◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-06-23

Korea Utara (Sapphire Sleet) Pintu Belakang 141 Paket npm Mastra AI — Infostealer Lintas Platform via Kait Postinstall

KerentananHigh dampakGlobal
Apa yang terjadi
Pada 17 Juni 2026, aktor ancaman negara Korea Utara Sapphire Sleet (BlueNoroff/APT38) mengompromi akun pemelihara npm yang diam 'ehindero' — yang mempertahankan hak penerbitan di seluruh ruang @mastra — dan dalam jendela 88 menit menerbitkan pembaruan berbahaya ke 141 paket kerangka kerja Mastra AI. Setiap paket memiliki ketergantungan typosquatted 'easy-day-js' (meniru perpustakaan dayjs asli) yang disuntikkan ke package.json. Ketika diinstal, kait postinstall menjalankan dropper yang dikaburkan yang menonaktifkan verifikasi TLS, melakukan beacon ke C2 penyerang, dan mengunduh infostealer tahap kedua lintas platform yang menargetkan Windows, Linux, dan macOS. Pencuri memanen 166 ekstensi browser dompet cryptocurrency, riwayat browser, kredensial, kunci API, dan token autentikasi, dengan persistensi spesifik OS (Kunci Registry Run / LaunchAgents / systemd). Microsoft mengatribusi dengan percaya diri pada 2026-06-19; BleepingComputer melaporkan pada 2026-06-20; SecurityWeek mengonfirmasi atribusi pada 2026-06-22.
Mengapa penting
Mastra adalah kerangka kerja JavaScript populer untuk membangun agen AI. Serangan ini mengenai seluruh ruang @mastra npm — lebih dari 1,1 juta unduhan mingguan gabungan. Setiap pengembang atau saluran CI/CD yang menjalankan npm install selama jendela paparan secara senyap menjalankan malware negara bangsa, berpotensi menyerahkan kepada Sapphire Sleet kunci API LLM, kredensial cloud, dan dompet cryptocurrency. Ini adalah serangan rantai pasokan npm Sapphire Sleet kedua di 2026 (setelah kompromi Axios pada April), mengonfirmasi kampanye berkelanjutan yang menargetkan ekosistem AI/pengembang.
Vektor serangan
npm install dari paket @mastra apa pun selama jendela kompromi 88 menit secara otomatis menjalankan kait postinstall berbahaya melalui ketergantungan easy-day-js yang disuntikkan.
Sistem yang terdampak
Ruang npm @mastra — 141 paket, semua versi diterbitkan 2026-06-17 selama jendela kompromi
Mitigasi
Audit catatan npm install untuk paket @mastra yang diinstal pada 2026-06-17 antara ~01:07–02:39 UTC. Putar semua kredensial (kunci API, token cloud, benih dompet crypto) pada mesin apa pun yang terpengaruh. Update ke versi paket @mastra yang bersih. Tinjau: https://www.bleepingcomputer.com/news/security/microsoft-links-mastra-ai-supply-chain-attack-to-north-korean-hackers/ dan https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/
Sumber
BleepingComputer — Microsoft links Mastra AI supply chain attack to North Korean hackersSecurityWeek — North Korean Hackers Blamed for Mastra NPM Supply Chain AttackMicrosoft Security Blog — Postinstall payload inside Mastra npm supply chain compromise
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →