Attack  ·  用語集

Mastra npm scope takeover

2026年6月に発生したサプライチェーン攻撃。攻撃者が、アクセス権が失効していない元の貢献者のnpm (JavaScriptパッケージレジストリ) アカウントを制御下に置き、Mastra AIエージェントフレームワーク全体を再発行しました。144個のパッケージが週あたり約800万回のダウンロードに到達し、暗号通貨ウォレットと開発者認証情報を盗む悪意のある依存関係が注入されました。この攻撃は、1つの忘れられた失効していない開発者アカウントがオープンソースAIフレームワークエコシステム全体を危険にさらすことができることを示しています。北朝鮮の国家支援アクターであるSapphire Sleetが責任者として特定されました。
Mastraパッケージを使用する開発者を持つすべての組織、またはそれらに依存するものは、認証情報とウォレット盗難の潜在的な被害者です。この事件は、AIフレームワーク依存関係が他のソフトウェアコンポーネントと同じサプライチェーンリスクを伴い、同じアクセスハイジーン制御が必要であることを強調しています。
Snyk — A Forgotten Contributor Account Compromised the Entire Mastra npm Package Scope
ライブフィードで追跡 この概念が実際のAIセキュリティ・ガバナンスの動向でどう現れるかを確認。
フィードを開く →