Sikkerhet
Nordkoreansk Sapphire Sleet kompromitterte 140+ npm-pakker i Mastra-angrep
Microsoft Threat Intelligence knytter et storstilt npm-forsyningskjedeangrep mot over 140 pakker i mastra- og @mastra-scopene til den nordkoreanske statsaktøren Sapphire Sleet. Angriperne kapret vedlikeholderkontoen ehindero og publiserte forgiftede versjoner som trakk inn easy-day-js, en ondsinnet typosquat av populære dayjs. Pakkene er fjernet og publiseringstilgangen trukket, men angrepet viser hvorfor utviklere må låse avhengigheter og granske postinstall-skript.
Microsoft Threat Intelligence knytter et storstilt npm-forsyningskjedeangrep mot over 140 pakker i mastra- og @mastra-scopene til den nordkoreanske statsaktøren Sapphire Sleet. Angriperne kapret vedlikeholderkontoen ehindero og publiserte forgiftede versjoner som trakk inn easy-day-js, en ondsinnet typosquat av populære dayjs. Pakkene er fjernet og publiseringstilgangen trukket, men angrepet viser hvorfor utviklere må låse avhengigheter og granske postinstall-skript.
Original tittel: From package to postinstall payload: Inside the Mastra npm supply chain compromise by Sapphire Sleet