文章总结: Microsoft披露Mastranpm供应链攻击事件,140多个包因维护者账号被朝鲜SapphireSleet组织接管而注入恶意代码,攻击在依赖安装阶段即可触发风险。文档指出AI开发链路需重视依赖治理,并提出7项应对建议:排查影响、轮换凭据、固定版本、限制脚本权限、收紧发布流程、监控CI/CD出站、建立事件响应机制。 综合评分: 85 文章分类: 供应链安全,漏洞预警,安全运营,解决方案,安全建设
Mastra 140+ npm 包被投毒:AI 开发链路里的“安装即风险”
原创
tcode tcode
字节脉搏实验室
2026年6月23日 10:21 北京
在小说阅读器读本章
去阅读
事件概述 过去 24 小时内,SecurityWeek 报道称,Microsoft 将 Mastra npm 供应链攻击归因于朝鲜相关的 Sapphire Sleet 组织。Microsoft 早前发布的研究显示,攻击影响了 mastra 与 @mastra 作用域下 140 多个 npm 包,攻击者通过接管具备发布权限的维护者账号,将伪装成常见依赖的恶意包注入到多个发布版本中。 Mastra 是面向 AI Agent、工作流和 RAG 管线的 TypeScript 框架。这让事件具备额外关注度:AI 应用开发正在快速采用新框架、新插件、新 MCP 集成和自动化构建流程,而供应链攻击恰好利用了这种速度。 本文不列出恶意包的可执行细节、网络指标或复现路径。对开发团队更有价值的是把它当作一次依赖治理和构建安全复盘。
核心事实 第一,公开信息显示,攻击源于 npm 维护者账号被接管,而不是 Mastra 源码仓库中正常提交被审核通过。攻击者利用发布权限,把恶意依赖加入多个包的新版本。 第二,Microsoft 指出,这类风险会在安装阶段触发。也就是说,即便应用代码从未显式调用受影响包,只要开发者工作站或 CI/CD 环境运行安装或更新动作,就可能暴露在风险中。 第三,SecurityWeek 在 2026 年 6 月 22 日报道,Microsoft 将该活动归因于 Sapphire Sleet,并称受影响包数量超过 140 个。Microsoft 的研究还提到,相关包已被移除,攻击者对 @mastra 作用域的发布权限已被撤销。 影响分析 对开发者来说,依赖安装不再只是“拉代码”。现代包管理器中的生命周期脚本、传递依赖和语义化版本范围,使得一次普通安装可能执行来自第三方生态的代码。攻击者盯上的不是最终用户,而是能接触源码、密钥、云凭据和发布权限的开发环境。 对企业来说,CI/CD 是高价值目标。流水线里常见 npm token、云访问密钥、容器仓库凭据、部署令牌和测试环境密钥。如果被投毒依赖进入构建流程,风险可能从单台机器扩展到制品仓库、部署系统和下游客户。 对 AI 团队来说,这次事件有明确提醒:AI Agent 生态更新快、依赖多、自动化程度高,不能只关注模型安全和提示词注入。依赖供应链、包发布权限和构建隔离,已经是 AI 工程安全的一部分。 应对建议
-
先做影响排查。检查项目锁文件、依赖树、CI 日志和制品构建时间,确认是否在受影响时间窗口安装过相关 Mastra 包或异常依赖。
-
对可能暴露的凭据执行轮换。包括 npm token、GitHub token、云访问密钥、模型 API key、CI/CD secret 和部署凭据。不要只删除依赖后继续使用旧密钥。
-
固定已知安全版本。对关键依赖使用 lockfile、内部镜像和版本准入,不要让生产构建无控制地自动解析到最新版本。
-
降低安装脚本默认权限。对不需要生命周期脚本的场景,采用禁用脚本、隔离构建容器、最小权限 runner 和只读凭据等措施。
-
收紧包发布权限。维护者账号应启用强 MFA,发布应尽量走受控 CI/OIDC 流程,减少个人账号直接发布高影响包。
-
对 CI/CD 做出站监控。构建环境不应拥有无限制外联能力,异常网络访问、临时目录可执行文件和安装阶段异常进程都应被记录。
-
建立依赖事件响应流程。供应链事件发生时,需要有“定位依赖-冻结构建-轮换凭据-重建制品-复核发布”的固定路径。
事实、推测与观点区分 事实:Microsoft 披露 Mastra npm 供应链攻击影响 140 多个包,攻击源于维护者账号被接管并注入恶意依赖;SecurityWeek 6 月 22 日报道 Microsoft 将其归因于 Sapphire Sleet。 合理推测:AI 开发生态中快速增长的新框架和插件,会继续成为供应链攻击者重点关注的入口。 本文观点:开发环境和 CI/CD 不是“内部可信区”,而是攻击者眼中的高价值入口。依赖治理应进入 AI 工程默认安全基线。 结语 供应链攻击最危险的地方在于,它把“信任”变成了入口。团队越依赖自动安装、自动构建和自动发布,就越需要把依赖、账号和流水线当作生产系统一样治理。 关键来源 • Microsoft Security Blog, “From package to postinstall payload: Inside the Mastra npm supply chain compromise by Sapphire Sleet”, 2026-06-17,6 月 19 日更新归因: https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/ • SecurityWeek, “North Korean Hackers Blamed for Mastra NPM Supply Chain Attack”, 2026-06-22 7:10 AM ET: https://www.securityweek.com/north-korean-hackers-blamed-for-mastra-npm-supply-chain-attack/ • StepSecurity, “140+ Packages Backdoored via easy-day-js Typosquat”, 2026-06-17: https://www.stepsecurity.io/blog/mastra-npm-packages-compromised-using-easy-day-js
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:字节脉搏实验室 tcode tcode《Mastra 140+ npm 包被投毒:AI 开发链路里的“安装即风险”》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论