في هجوم جديد على سلسلة توريد البرمجيات، تم اختراق ما يصل إلى 145 حزمة npm مرتبطة بنطاق Mastra (@mastra/)*، وهو إطار عمل مفتوح المصدر يُستخدم على نطاق واسع في تطوير تطبيقات الذكاء الاصطناعي باستخدام JavaScript وTypeScript. الهجوم، الذي أُطلق عليه اسم easy-day-js، تم عبر حساب مساهم سابق في المشروع يدعى ehindero، بحسب تقارير من Endor Labs وJFrog وOX Security وSafeDep وSocket وStepSecurity وSynk.
آلية الهجوم
الحزم المصابة لم تحتوي على كود خبيث مباشر، بل أُضيفت مكتبة طرف ثالث باسم easy-day-js إلى قائمة التبعيات. هذه المكتبة كانت نسخة مستنسخة من مكتبة dayjs الشهيرة، لكنها تضمنت لاحقًا كودًا خبيثًا يقوم بتنزيل وتشغيل حصان طروادة لسرقة العملات الرقمية.
المكتبة نُشرت أولًا كنسخة نظيفة في 16 يونيو 2026، ثم أُضيفت التعديلات الخبيثة في 17 يونيو، ضمن حملة نشر آلية استغرقت 88 دقيقة فقط.
قدرات البرمجية الخبيثة
البرمجية تعمل عبر postinstall hook، حيث تُطلق حمولة مشفرة يتم تنزيلها من خادم المهاجم بعد تعطيل التحقق من شهادات TLS.
الحمولة النهائية عبارة عن information stealer متعدد المنصات قادر على:
- سرقة بيانات أكثر من 160 إضافة لمحافظ العملات الرقمية في المتصفح.
- جمع سجل التصفح وبيانات التخزين.
- تثبيت آليات بقاء على أنظمة Windows وmacOS وLinux.
- تنفيذ أوامر إضافية يتم تلقيها من خادم التحكم (C2) مثل تنزيل وحدات جديدة وتشغيلها.
أثر الهجوم على Mastra
نظرًا لأن Mastra يقع عند تقاطع تطوير الذكاء الاصطناعي والبنية السحابية، فإن حزمها غالبًا ما تُثبت في بيئات تحتوي على بيانات اعتماد حساسة، مما جعلها هدفًا عالي القيمة.
من أبرز الحزم المصابة @mastra/core، التي تتلقى أكثر من 918 ألف تنزيل أسبوعيًا، ما يضاعف من خطورة الهجوم.
حتى بعد إزالة الحزم الخبيثة، قد تستمر العمليات الخلفية في العمل إذا كانت قد ثبتت بالفعل آليات البقاء.
رد Mastra
أكد فريق Mastra أن الهجوم نتج عن اختراق جهاز أحد الموظفين الحاليين عبر هجوم هندسة اجتماعية، حيث تلقى رسالة عبر حساب LinkedIn مخترق تضمنت رابطًا خبيثًا.
الفريق أوضح أنه أوقف ميزة token bypass التي سمحت بالنشر عبر رموز شخصية، وأكد أن الإصدارات الرسمية تُنشر عبر CI مع إثباتات SLSA provenance.
كما تمت إزالة الإصدارات المصابة من npm، مع دعوة المستخدمين إلى التراجع عن النسخ المصابة، تدوير بيانات الاعتماد، وفحص الأنظمة بحثًا عن آثار الهجوم.
