Hasta 144 paquetes npm asociados con el espacio de nombres Mastra (“@mastra/*”), un popular marco JavaScript y TypeScript de código abierto para crear aplicaciones de inteligencia artificial (IA), se vieron comprometidos como parte de un ataque a la cadena de suministro de software con nombre en código easy-day-js, según hallazgos de JFrog, SafeDep, Socket y StepSecurity.
«Una sola cuenta npm (ehindero) publicó en masa más de 140 paquetes maliciosos en todo el alcance de Mastra en un corto período de tiempo el 17 de junio de 2026», dijo Socket.
El paquete infectado en sí no contiene ningún código malicioso. En cambio, lo introduce una biblioteca de terceros llamada «easy-day-js» que se agrega a la lista de dependencias de cada paquete. La biblioteca JavaScript fue publicada como una copia limpia y completamente funcional por el usuario de npm ‘sergey2016’ el 16 de junio de 2026 a las 7:05 a. m. UTC, y los cambios maliciosos se introdujeron el 17 de junio de 2026 a la 1:01 a. m. UTC.
El paquete «easy-day-js» lanza una carga útil ofuscada que se inicia durante un enlace posterior a la instalación. Actúa como descargador o cargador para una carga útil de segunda etapa obtenida de la infraestructura controlada por el atacante (‘23.254.164(.)92’) después de deshabilitar la validación del certificado TLS.
Luego, la carga útil se ejecuta como un proceso en segundo plano aislado y el cargador toma medidas para borrarse a sí mismo para minimizar los rastros forenses.
La etapa final es un ladrón de información multiplataforma que puede recopilar el historial del navegador, almacenar datos de más de 160 extensiones de navegador de billetera criptográfica, instalar persistencia en Windows, macOS y Linux, y filtrar información capturada a un servidor C2 (“23.254.164(.)123”).
En su análisis, SafeDep describió «easy-day-js» como un clon de la biblioteca de fechas «dayjs» que descarga y ejecuta un troyano de acceso remoto que roba criptomonedas. Se dice que los atacantes detrás de la campaña secuestraron la cuenta de «ehindero», un ex colaborador legítimo de Mastra cuyo acceso al ámbito no ha sido revocado. Luego, Npm extrajo la versión maliciosa de los paquetes más populares y volvió a agregar las etiquetas más recientes.
Fuente de la imagen: StepSecurity
«Mastra envía lanzamientos reales de CI a través del flujo de editores confiables de npm, cada uno con un certificado de procedencia SLSA», dijo SafeDep. «El atacante introdujo una versión maliciosa de un token personal y eliminó el origen».
«La misma huella digital se repite en todos los ámbitos. Mastra generó procedencia en la publicación de CI, pero no la requirió, por lo que se podría emitir un token npm estándar sin un certificado. Una instalación de verificación de firma (firma de auditoría de npm o una política que requiere un certificado) habría rechazado todos los paquetes en esta ola».
Cualquier estación de trabajo, ejecutor de CI o entorno de compilación que tenga instalada una versión afectada debe tratarse como potencialmente comprometido. Recomendamos volver a una versión segura, rotar las credenciales y auditar los hosts en busca de artefactos vinculados a las campañas.
«Los paquetes afectados incluyen @mastra/core, que recibe más de 918.000 descargas de npm cada semana, lo que potencialmente aumenta el alcance explosivo de esta campaña», dijo Socket. «La carga útil se ejecuta durante la instalación, lo que potencialmente expone el sistema antes de que un desarrollador pueda importar o usar el paquete».
Source link
