무슨 일이 있었나
2026년 6월 17일(UTC)에 공격자가 @mastra npm 조직 계정을 손상시키고 easy-day-js에 대한 악의적 종속성이 있는 144개의 1차 패키지를 다시 배포했습니다. easy-day-js 패키지에는 난독화된 postinstall 스크립트가 포함되어 있었으며, 이는 드로퍼 페이로드를 실행하고 추가 악성코드를 다운로드한 후 자동 삭제되었습니다. Mastra는 프로덕션 에이전트 구축에 사용되는 인기 있는 JavaScript/TypeScript AI 에이전트 프레임워크입니다.
왜 중요한가
이는 AI 개발자 생태계를 직접 목표로 하는 고속 공급망 공격입니다. Mastra는 프로덕션 AI 에이전트 구축에 광범위하게 사용됩니다. 2026년 6월 17~18일 사이에 @mastra 패키지에 대해 `npm install`을 실행한 모든 개발자는 개발 환경, CI/CD 파이프라인 및 잠재적으로 프로덕션 시스템이 손상되었습니다. 공격 벡터(144개 패키지에 걸쳐 분산되는 탈취된 npm 조직 계정)는 오픈소스 AI 공급망의 심각한 실패 모드를 나타냅니다.
공격 경로
손상된 npm 조직 계정, 공격자가 easy-day-js(dayjs의 타이포스쿼팅)를 144개의 1차 Mastra 패키지 전체에 걸친 전이적 종속성으로 주입했습니다. 패키지 설치 시 post-install 드로퍼가 실행되고, 공격자가 제어하는 서버에서 2단계 페이로드를 다운로드한 후 탐지를 피하기 위해 자동 삭제되었습니다.
영향받는 시스템
Mastra AI 에이전트 프레임워크(@mastra/core, @mastra/utils, @mastra/agent-browser 및 141개 추가 패키지)
완화 방안
2026년 6월 17일(UTC) 이후에 @mastra 패키지를 설치한 모든 시스템을 즉시 감사하십시오. 영향을 받은 머신의 모든 자격증명, PAT, API 키 및 보안 정보를 회전시키십시오. npm 감사 로그에서 설치 타임스탐프를 확인하십시오. Mastra 패키지 버전을 6월 17일 이전 릴리스로 고정하십시오. npm 2FA를 활성화하고 모든 AI 프레임워크 종속성에 대한 작업공간 lockfile 고정을 고려하십시오.