Attack  ·  Glosarium

Mastra npm scope takeover

Serangan rantai pasokan Juni 2026 di mana seorang penyerang mendapatkan kendali atas akun npm (registri paket JavaScript) mantan kontributor yang tidak pernah mencabut aksesnya, kemudian menerbitkan kembali seluruh kerangka kerja agen AI Mastra — 144 paket mencapai kira-kira 8 juta unduhan mingguan — dengan injeksi ketergantungan jahat yang mencuri dompet cryptocurrency dan kredensial pengembang. Serangan ini mengilustrasikan bagaimana satu akun pengembang yang terlupakan dan tidak dicabut aksesnya dapat mengompromikan seluruh ekosistem kerangka kerja AI sumber terbuka. Aktor yang disponsori negara Korea Utara Sapphire Sleet diidentifikasi sebagai pihak yang bertanggung jawab.
Setiap organisasi yang pengembangnya menggunakan paket Mastra — atau apa pun yang bergantung padanya — adalah potensi korban dari pencurian kredensial dan dompet; insiden ini menekankan bahwa ketergantungan kerangka kerja AI membawa risiko rantai pasokan yang sama seperti komponen perangkat lunak lainnya dan memerlukan kontrol kebersihan akses yang sama.
Snyk — A Forgotten Contributor Account Compromised the Entire Mastra npm Package Scope
Pantau di umpan langsung Lihat bagaimana hal ini terwujud dalam perkembangan keamanan dan tata kelola AI nyata.
Buka umpan →