事件经过
2026年6月17日,朝鲜国家行为者Sapphire Sleet(BlueNoroff/APT38,由微软以高度信心归属)劫持了npm账户'ehindero'——一位曾经的Mastra贡献者,其发布权限从未被撤销——并在88分钟内向@mastra范围内的141个包发布了中毒更新。每个更新都注入了恶意依赖'easy-day-js'(legitimate dayjs库的类型蹲占),携带postinstall钩子。钩子禁用TLS验证、联系攻击者控制的C2,并部署跨平台凭证窃取RAT,针对166个加密货币钱包浏览器扩展ID、AI API密钥、GitHub令牌、AWS凭证和开发人员身份数据。Mastra是用于构建AI代理、RAG管道和LLM工作流的TypeScript框架;单独@mastra/core在攻击时就有约918K周下载量。微软在6月17-19日发布了归属分析。
影响分析
Mastra是核心AI代理开发基础设施——其范围涵盖代理编排、工具集成、MCP服务器和RAG管道组件。通过在约800万周下载量中危害安装时执行,攻击者获得了AI开发管道中最敏感的凭证的访问权限:LLM API密钥(OpenAI、Anthropic等)、云提供商令牌和CI/CD密钥,支持跨整个AI基础设施堆栈的横向移动。此攻击在npm install时运行,早于任何应用代码执行,使其对静态分析和运行时监控不可见。
攻击途径
被劫持的npm维护者账户用于将恶意easy-day-js依赖注入141个Mastra包;postinstall钩子在任何开发人员机器或CI/CD运行器上的npm install时触发,部署跨平台凭证窃取RAT
受影响系统
@mastra/* npm包——141个包被木马化;mastra版本1.13.1+和@mastra/core版本1.42.1+在2026年6月17日攻击窗口期间
缓解措施
固定已知良好版本(mastra≤1.13.0、@mastra/core≤1.42.0未受影响);审计node_modules/和package-lock.json中是否存在easy-day-js;轮换所有在6月17日窗口期间运行npm install的系统上的凭证;在npm组织策略上强制执行SLSA来源证明。微软博客:https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/