C
月内に
Microsoftは、140以上のnpmパッケージを侵害したMastra AIへのサプライチェーン攻撃が、北朝鮮の国家背景を持つハッカー集団「Sapphire…
📌 一言でいうと
Microsoftは、140以上のnpmパッケージを侵害したMastra AIへのサプライチェーン攻撃が、北朝鮮の国家背景を持つハッカー集団「Sapphire Sleet(別名 BlueNoroff)」によるものであると特定しました。攻撃者はnpmメンテナーアカウントを乗っ取り、正当なライブラリ「dayjs」に似せた悪意のある依存関係「easy-day-js」を注入しました。この攻撃は主に金融セクターを標的とするグループによるものです。
🔍該当判定
- 社内でJavaScript/TypeScriptを用いたシステム開発を行っている
- npm(パッケージ管理ツール)を利用してライブラリを導入している
- 開発環境や本番環境で「@mastra」というスコープのパッケージを利用している
- ライブラリに「easy-day-js」という名称のものが含まれている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
1. 依存関係に 'easy-day-js' が含まれていないか確認し、検出された場合は直ちに削除すること。 2. npmパッケージの更新時に、不審な依存関係の追加がないか監査すること。 3. 開発環境におけるアカウントの多要素認証 (MFA) を徹底すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Mastra AI npmパッケージにおけるサプライチェーン攻撃への対応について
お疲れさまです。Mastra AIのnpmパッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループ「Sapphire Sleet」がnpmメンテナーアカウントを侵害し、@mastraスコープの140以上のパッケージに悪意のある依存関係「easy-day-js」(dayjsのタイポスクワッティング)を注入したことが判明しました。
■ 影響範囲
- Mastra AI (@mastra) のnpmパッケージを利用しているプロジェクト
■ 対応手順
1. プロジェクトの依存関係ツリー(package-lock.json等)を確認し、「easy-day-js」が含まれていないか調査してください。
2. 悪意のあるパッケージが検出された場合は、直ちに削除し、影響を受けた環境の認証情報(APIキー等)のローテーションを検討してください。
3. 開発チームに対し、不審なパッケージのインストールを避けるよう周知してください。
■ 参考情報
- Microsoft Threat Intelligence
対応優先度: 高
対応期限: 本日中
お疲れさまです。Mastra AIのnpmパッケージを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループ「Sapphire Sleet」がnpmメンテナーアカウントを侵害し、@mastraスコープの140以上のパッケージに悪意のある依存関係「easy-day-js」(dayjsのタイポスクワッティング)を注入したことが判明しました。
■ 影響範囲
- Mastra AI (@mastra) のnpmパッケージを利用しているプロジェクト
■ 対応手順
1. プロジェクトの依存関係ツリー(package-lock.json等)を確認し、「easy-day-js」が含まれていないか調査してください。
2. 悪意のあるパッケージが検出された場合は、直ちに削除し、影響を受けた環境の認証情報(APIキー等)のローテーションを検討してください。
3. 開発チームに対し、不審なパッケージのインストールを避けるよう周知してください。
■ 参考情報
- Microsoft Threat Intelligence
対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] Supply Chain Attack on Mastra AI npm Packages
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting Mastra AI npm packages.
■ Overview
Microsoft has attributed a campaign to the North Korean threat actor "Sapphire Sleet," who compromised an npm maintainer account to inject a malicious dependency named "easy-day-js" (a typosquat of the legitimate "dayjs" library) into over 140 packages within the @mastra scope.
■ Scope
- Projects utilizing npm packages under the @mastra scope.
■ Action Plan
1. Audit project dependency trees (e.g., package-lock.json) for the presence of "easy-day-js".
2. If detected, immediately remove the malicious package and rotate any secrets or API keys that may have been exposed in the affected environment.
3. Advise development teams to be vigilant about typosquatting and verify package provenance.
■ Reference
- Microsoft Threat Intelligence
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting Mastra AI npm packages.
■ Overview
Microsoft has attributed a campaign to the North Korean threat actor "Sapphire Sleet," who compromised an npm maintainer account to inject a malicious dependency named "easy-day-js" (a typosquat of the legitimate "dayjs" library) into over 140 packages within the @mastra scope.
■ Scope
- Projects utilizing npm packages under the @mastra scope.
■ Action Plan
1. Audit project dependency trees (e.g., package-lock.json) for the presence of "easy-day-js".
2. If detected, immediately remove the malicious package and rotate any secrets or API keys that may have been exposed in the affected environment.
3. Advise development teams to be vigilant about typosquatting and verify package provenance.
■ Reference
- Microsoft Threat Intelligence
Priority: High
Deadline: Immediate