Mastra: 144 npm‑пакета скомпрометированы через захват аккаунта поставщика

Коллеги, хочу обратить внимание в сфере кибербезопасности: кампания easy-day-js скомпрометировала до 144 пакетов @mastra/*.
Что произошло:
- Захвачен npm‑аккаунт ehindero; злоумышленник массово опубликовал пакеты.
- Вредоносная зависимость «easy-day-js» запускается в postinstall, отключает TLS и загружает инфостилер с C2.
- Собирает историю браузера, данные 160+ крипто‑расширений и обеспечивает кроссплатформенную устойчивость.
Рекомендую: откатить до безопасных версий, сменить токены, аудировать рабочие станции и CI, требовать провенанс/подписей при публикациях.
Почему это важно: вредонос выполняется при установке — риску подвержены build‑окружения и рабочие станции.
Какие дополнительные меры Вы считаете критичными для защиты цепочки поставок ПО?
#кибербезопасность #supplychain #npm #opensource


Последние комментарии
Комментариев пока нет.