Mastra: 144 npm‑paketa s kompromitovana kroz preuzimanje naloga dobavljača

Kolege, želim da skrenem pažnju u oblasti sajber bezbednosti: paket 'easy-day-js' kompromitovao je do 144 paketa @mastra/*.
Šta se desilo:
- Preuzet npm nalog ehindero; napadač je masovno objavio pakete.
- Maliciozna zavisnost „easy-day-js" pokreće se u postinstall, onemogućava TLS i preuzima infostealer sa C2.
- Prikuplja istoriju pregledača, podatke 160+ kripto-extensions i obezbeđuje cross-platform otpornost.
Preporučujem: vratite verzije na bezbedne, promenite tokene, auditujte radne stanice i CI, zahtevajte provenance/potpise pri objavama.
Zašto je važno: malver se izvršava pri instalaciji — rizična su build okruženja i radne stanice.
Koje dodatne mere smatrate kritičnim za zaštitu lanca snabdevanja softverom?
#sajberbezbednost #lancenabavke #npm #opensource


Poslednji komentari
Još nema komentara.