144 แพ็กเกจ npm ของ Mastra ถูกแฮกผ่านบัญชีผู้ร่วมพัฒนาเดียว

การตรวจพบการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ที่ทำให้ แพ็กเกจ npm จำนวน 144 แพ็กเกจ ภายใต้เนมสเปซ @mastra/ ถูกแฮกโดยบัญชีผู้ร่วมพัฒนาเดียว ehindero ทำให้โครงสร้างพื้นฐานของเฟรมเวิร์ก AI ที่นิยมใช้ใน JavaScript/TypeScript เสี่ยงต่อการรั่วไหลของโค้ดอันตราย รายงานจาก JFrog, SafeDep, Socket และ StepSecurity นี้เป็นเหตุการณ์ที่นักพัฒนาทั่วโลกควรให้ความสนใจอย่างจริงจัง

Overview

Mastra เป็นเฟรมเวิร์กโอเพ่นซอร์สที่ออกแบบมาเพื่อช่วยนักพัฒนาในการสร้างแอปพลิเคชันปัญญาประดิษฐ์ (AI) บนแพลตฟอร์ม JavaScript และ TypeScript โดยเน้นให้การทำงานร่วมกับโมเดล Machine Learning ง่ายขึ้น แพ็กเกจหลายร้อยชุดที่อยู่ภายใต้ชื่อ @mastra/ ถูกเผยแพร่บน npm registry อย่างกว้างขวางและมีการดาวน์โหลดโดยนักพัฒนาจำนวนมาก

การโจมตีที่เรียกว่า easy‑day‑js นี้ถูกตรวจพบเมื่อผู้วิจัยด้านความปลอดภัยสังเกตเห็นพฤติกรรมผิดปกติของหลายแพ็กเกจที่อัปเดตพร้อมกันในช่วงเวลาเดียวกัน รายงานระบุว่าบัญชีผู้ใช้ ehindero ได้ทำการเผยแพร่โค้ดที่ถูกแทรกแซงลงในแพ็กเกจเหล่านี้โดยไม่มีการตรวจสอบจากผู้ดูแลหลักของโครงการ

Attack Details

การโจมตีใช้วิธีการ hijack contributor account ซึ่งผู้โจมตีได้เข้าถึงบัญชีผู้ใช้ที่มีสิทธิ์เผยแพร่แพ็กเกจในเนมสเปซ @mastra/ แล้วทำการอัปโหลดโค้ดอันตรายโดยอัตโนมัติ การเผยแพร่ครั้งเดียวนี้ทำให้ 144 แพ็กเกจ ทั้งหมดได้รับการปรับปรุงพร้อมกัน ทั้งที่โค้ดเดิมไม่มีการเปลี่ยนแปลงใด ๆ

ตามข้อมูลจาก JFrog โค้ดที่แทรกเข้าไปมีลักษณะการเรียกใช้ remote scripts ที่อาจทำการดาวน์โหลดและรันไฟล์เพิ่มเติมบนเครื่องของผู้ใช้ที่ติดตั้งแพ็กเกจเหล่านี้ การโจมตีจึงอาจทำให้ผู้โจมตีสามารถเข้าถึงระบบของผู้ใช้หรือขโมยข้อมูลสำคัญได้ อย่างไรก็ตาม รายละเอียดเชิงลึกของ payload ยังคงอยู่ในระหว่างการวิเคราะห์ของทีมความปลอดภัย

Impact

ผลกระทบของเหตุการณ์นี้ค่อนข้างกว้าง เนื่องจาก npm เป็นแหล่งที่มาหลักของไลบรารีสำหรับโครงการ JavaScript/TypeScript จำนวนมาก นักพัฒนาที่ใช้ @mastra/ ในโปรเจกต์ AI ของตนอาจได้รับโค้ดที่ถูกแทรกโดยไม่รู้ตัว ส่งผลให้ระบบอาจถูกโจมตีหรือข้อมูลที่สำคัญถูกขโมยได้

• จำนวน แพ็กเกจที่ได้รับผลกระทบ: 144
• ช่วงเวลาที่แพ็กเกจถูกเผยแพร่โดยบัญชี ehindero: ไม่ระบุในแหล่งข้อมูล
• ความเสี่ยงต่อการรั่วไหลของข้อมูลและการติดตั้งมัลแวร์บนเครื่องของผู้ใช้

อุตสาหกรรมซอฟต์แวร์โดยรวมต้องเผชิญกับการเพิ่มขึ้นของการโจมตีแบบห่วงโซ่อุปทาน ซึ่งอาจทำให้ความเชื่อมั่นต่อระบบจัดการแพ็กเกจสาธารณะลดลงได้

Mitigation & Recommendations

ผู้ดูแลโครงการและนักพัฒนาที่ใช้ @mastra/ ควรดำเนินการตรวจสอบและแก้ไขโดยเร็ว ทีมความปลอดภัยของ JFrog แนะนำขั้นตอนต่อไปนี้:

• ตรวจสอบ hash ของแพ็กเกจที่ติดตั้งในระบบกับ hash ที่เผยแพร่โดยผู้พัฒนาหลัก
• หากพบความไม่สอดคล้อง ให้ทำการ rollback ไปยังเวอร์ชันก่อนหน้าที่ปลอดภัย
• ลบหรือระงับการใช้แพ็กเกจที่มาจากบัญชี ehindero จนกว่าจะได้รับการตรวจสอบเพิ่มเติม
• ปรับนโยบาย CI/CD ให้รวมการสแกนความปลอดภัยของซอร์สโค้ดและ dependencies อย่างต่อเนื่อง

การอัปเดตระบบและการเฝ้าระวังอย่างต่อเนื่องเป็นสิ่งสำคัญเพื่อป้องกันไม่ให้การโจมตีแบบเดียวกันเกิดขึ้นซ้ำในอนาคต

Industry Response

หลังจากที่ข้อมูลการโจมตีถูกเปิดเผย ทีมจาก SafeDep, Socket และ StepSecurity ได้ร่วมกันเผยแพร่รายงานสรุปและข้อแนะนำแก่ชุมชนโอเพ่นซอร์สหลายแห่ง นอกจากนี้ npm registry เองก็เริ่มทำการตรวจสอบบัญชีผู้ใช้ที่มีการเผยแพร่แพ็กเกจจำนวนมากในช่วงเวลาสั้น ๆ เพื่อป้องกันการใช้บัญชีที่อาจถูกขโมย

หลายองค์กรเริ่มพิจารณาเพิ่ม การตรวจสอบผู้ร่วมพัฒนา (maintainer verification) เป็นขั้นตอนบังคับก่อนอนุญาตให้เผยแพร่แพ็กเกจใหม่ การทำเช่นนี้อาจลดความเสี่ยงจากการแฮกบัญชีผู้ใช้ที่มีสิทธิ์สำคัญในโครงการโอเพ่นซอร์ส

Analysis

เหตุการณ์นี้ย้ำถึงจุดอ่อนของระบบ supply chain ในอีโคซิสเต็มของ JavaScript ที่พึ่งพา npm เป็นแหล่งจัดหาแพ็กเกจหลัก การที่บัญชีผู้ใช้เดียวสามารถเผยแพร่โค้ดอันตรายได้แสดงให้เห็นถึงความสำคัญของการจัดการสิทธิ์และการตรวจสอบประวัติการเปลี่ยนแปลงของแพ็กเกจ

จากมุมมองของนักพัฒนา การพึ่งพา dependencies จากแหล่งที่มาที่ไม่ผ่านการตรวจสอบอย่างละเอียดอาจทำให้โครงการเสี่ยงต่อการถูกโจมตีได้ง่ายขึ้น การใช้เครื่องมือสแกนเช่น Snyk, Dependabot หรือบริการสแกนของ JFrog ควรเป็นส่วนหนึ่งของกระบวนการพัฒนาอย่างสม่ำเสมอ

Summary

การแทรกโค้ดอันตรายใน แพ็กเกจ @mastra/ จำนวน 144 แพ็กเกจโดยบัญชีผู้ใช้ ehindero** ทำให้ชุมชนผู้พัฒนาต้องเผชิญกับความเสี่ยงด้านความปลอดภัยที่สำคัญ ผู้ใช้ควรตรวจสอบและอัปเดตแพ็กเกจทันที พร้อมเสริมมาตรการตรวจสอบและการจัดการสิทธิ์เพื่อป้องกันเหตุการณ์คล้ายกันในอนาคต.