Никто не ждал подвоха от официального пакета. Теперь разработчикам советуют спасать криптокошельки

Обычное обновление зависимости снова стало входной точкой для атаки на разработчиков: злоумышленник заразил вредоносным кодом 141 npm-пакет Mastra после взлома учётной записи одного из участников проекта. Mastra — набор инструментов для разработки ИИ-приложений и агентных систем, который распространяется через npm и подключается к проектам как обычная программная зависимость.

Атака произошла 17 июня. По данным компании Socket, взлом начался с компрометации npm-аккаунта участника Mastra под именем ehindero. Через доверенную учётную запись злоумышленник не стал менять основной код проекта, а подменил один из программных компонентов на управляемую им «призрачную зависимость».

Поддельный пакет сначала выглядел как легитимный и работал нормально, поэтому обновление могло не вызвать подозрений у разработчиков. Позднее в компонент добавили вредоносный код, который автоматически запускался при установке заражённых версий. Пользователи, загрузившие такие пакеты, могли незаметно установить стилер на свои компьютеры.

Вредоносная программа искала данные криптовалютных кошельков, расширения браузеров и файлы с учётными данными. По оценке специалистов, кампания была нацелена прежде всего на кражу цифровых активов, а не на вывод систем из строя.

Опасность усиливало доверие к легитимному аккаунту. Разработчики могли воспринять обновление как обычное изменение в цепочке поставки и не проверять его вручную, что помогало заражённым пакетам быстрее распространяться через npm.

Socket рекомендовала удалить затронутые версии, очистить node_modules и вернуться на более ранние сборки. Владельцам крупных криптовалютных кошельков посоветовали перевести средства на новый кошелёк. StepSecurity и JFrog также подготовили индикаторы компрометации, а Microsoft рекомендовала срочно откатиться на старые версии пакетов и использовать lockfile-файлы для жёсткой фиксации зависимостей.