Apa yang terjadi
Pada 17 Juni 2026 (UTC), penyerang mengompromikan akun organisasi @mastra npm dan menerbitkan ulang 144 paket pihak pertama dengan ketergantungan berbahaya pada easy-day-js. Paket easy-day-js berisi skrip postinstall yang dikaburkan yang menjalankan payload dropper, mengunduh malware tambahan, dan menghapus dirinya sendiri. Mastra adalah kerangka kerja agen AI JavaScript/TypeScript populer yang digunakan untuk membangun agen produksi.
Mengapa penting
Ini adalah serangan rantai pasokan kecepatan tinggi yang secara langsung menargetkan ekosistem pengembang AI. Mastra banyak digunakan untuk membangun agen AI produksi. Setiap pengembang yang menjalankan `npm install` untuk paket @mastra antara 17-18 Juni 2026 memiliki lingkungan pengembangan, saluran pipa CI/CD, dan sistem produksi mereka yang berpotensi dikompromikan. Vektor serangan — akun org npm yang diretas mendistribusikan di 144 paket — mewakili mode kegagalan kritis dalam rantai pasokan AI sumber terbuka.
Vektor serangan
Akun organisasi npm yang dikompromikan; penyerang menyuntikkan easy-day-js (typosquat dari dayjs) sebagai ketergantungan transitif di seluruh 144 paket Mastra pihak pertama. Dropper pasca-instalasi dieksekusi pada instalasi paket, mengunduh payload tahap kedua dari server yang dikendalikan penyerang, kemudian menghapus dirinya sendiri untuk menghindari deteksi.
Sistem yang terdampak
Kerangka kerja agen Mastra AI (@mastra/core, @mastra/utils, @mastra/agent-browser, dan 141 paket tambahan)
Mitigasi
Segera audit sistem apa pun yang menginstal paket @mastra pada atau setelah 17 Juni 2026 UTC. Rotasi semua kredensial, PAT, kunci API, dan rahasia dari mesin yang terpengaruh. Periksa log audit npm untuk stempel waktu instalasi. Tetapkan versi paket Mastra ke rilis pra-17 Juni. Aktifkan 2FA npm dan pertimbangkan pinning file kunci ruang kerja untuk semua dependensi kerangka kerja AI.