:quality(80)/p7i.vogel.de/wcms/6b/ec/6beca4ce2c555419632f4ded54aac439/0131917268v2.jpeg)
Gekapertes npm-Konto schleust Schadcode in 140 Mastra-Pakete
Sicherheitsforscher haben einen Lieferkettenangriff auf das KI-Framework Mastra dokumentiert. Ein gekapertes npm-Konto verteilte in kurzer Zeit mehr als 140 manipulierte Pakete. Diese luden über eine getarnte Abhängigkeit beim Installieren einen plattformübergreifenden Schädling nach, der Cloud-Zugänge, CI/CD-Tokens und SSH-Schlüssel abgriff. Die Mastra-Pakete selbst blieben dabei unverändert.