Mastra @mastra/* 遭 npm 供应链攻击:142 包、918K 周下载受影响
2026-06-18 02:00:00
Mastra(TypeScript Agent 框架,Gatsby 团队背景)遭遇 npm 供应链攻击——142 个 @mastra/ 包* 及顶层 mastra、create-mastra 受影响。
攻击向量
- 恶意依赖:easy-day-js@1.11.22
- 影响范围:6 月 16 日后安装的任何 @mastra/* 版本
- @mastra/core 约 918K 周下载,combined 超 110 万
风险
- 窃取 npm/GitHub/云/API/CI/SSH/数据库 凭证
- 加密货币钱包 窃取
- Windows/macOS/Linux 持久化后门
处置建议(Orca/JFrog)
- 回滚至攻击前版本
- 轮换全部密钥(含 LLM API Key)
- 检查持久化路径(如 macOS
~/Library/LaunchAgents/com.nvm.protocal.plist) - 阻断 IOC IP:23.254.164.92、23.254.164.123
- 项目内执行
npm ls easy-day-js
行业背景
Agent 框架 npm 下载量随 2026 Agent 爆发 激增,Supply Chain 成为 AI 软件安全 新前线——与 Red Hat npm 事件、Miasma 蠕虫形成呼应。
使用 Mastra 的团队应立即审计依赖与 CI 密钥。