Definisi
Serangan rantai pasokan Juni 2026 di mana seorang penyerang mendapatkan kendali atas akun npm (registri paket JavaScript) mantan kontributor yang tidak pernah mencabut aksesnya, kemudian menerbitkan kembali seluruh kerangka kerja agen AI Mastra — 144 paket mencapai kira-kira 8 juta unduhan mingguan — dengan injeksi ketergantungan jahat yang mencuri dompet cryptocurrency dan kredensial pengembang. Serangan ini mengilustrasikan bagaimana satu akun pengembang yang terlupakan dan tidak dicabut aksesnya dapat mengompromikan seluruh ekosistem kerangka kerja AI sumber terbuka. Aktor yang disponsori negara Korea Utara Sapphire Sleet diidentifikasi sebagai pihak yang bertanggung jawab.
Mengapa penting
Setiap organisasi yang pengembangnya menggunakan paket Mastra — atau apa pun yang bergantung padanya — adalah potensi korban dari pencurian kredensial dan dompet; insiden ini menekankan bahwa ketergantungan kerangka kerja AI membawa risiko rantai pasokan yang sama seperti komponen perangkat lunak lainnya dan memerlukan kontrol kebersihan akses yang sama.