정의
2026년 6월 발생한 공급망 공격으로, 공격자가 접근 권한이 취소된 적 없는 이전 기여자의 npm(JavaScript 패키지 레지스트리) 계정을 장악한 후, Mastra AI agent framework 전체 — 주당 약 800만 다운로드에 달하는 144개 패키지 — 를 암호화폐 지갑과 개발자 자격 증명을 탈취하는 악성 의존성이 주입된 상태로 재배포했습니다. 이 공격은 잊혀진 하나의 취소되지 않은 개발자 계정이 전체 오픈소스 AI 프레임워크 생태계를 어떻게 손상시킬 수 있는지 보여줍니다. 북한 정부 후원 행위자 Sapphire Sleet이 책임자로 특정되었습니다.
왜 중요한가
Mastra 패키지를 사용하는 개발자가 있는 모든 조직 — 또는 이에 의존하는 모든 것을 사용하는 조직 — 은 자격 증명 및 지갑 도용의 잠재적 피해자입니다. 이 사건은 AI 프레임워크 의존성이 다른 소프트웨어 구성 요소와 동일한 공급망 위험을 가지고 있으며 동일한 접근 권한 위생 관리 통제를 필요로 함을 강조합니다.