B
今週中
北朝鮮の国家支援アクター「Sapphire Sleet」が、AIエージェント構築用フレームワーク「Mastra」のサプライチェーン攻撃を行ったこと
📌 一言でいうと
北朝鮮の国家支援アクター「Sapphire Sleet」が、AIエージェント構築用フレームワーク「Mastra」のサプライチェーン攻撃を行ったことが判明しました。攻撃者はNPMメンテナーアカウントを侵害し、正当なライブラリ「dayjs」を模した悪意のあるパッケージ「easy-day-js」を依存関係に含めた141個のパッケージを公開しました。影響を受けるパッケージの週間ダウンロード数は約800万回に及び、6月17日の攻撃時間帯にインストールしたユーザーは影響を受けた可能性があります。
🔍該当判定
- AIエージェントやRAG構築のために『Mastra』というTypeScriptフレームワークを利用している
- 2024年6月17日に、npm経由で『@mastra』で始まるパッケージを新規インストールまたは更新した
- プロジェクトの依存関係(package.json等)に『easy-day-js』というライブラリが含まれている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
6月17日に@mastraパッケージをインストールまたは更新した環境を確認し、依存関係に'easy-day-js'が含まれていないかチェックしてください。含まれている場合は、直ちにパッケージを削除し、侵害された可能性のある認証情報や秘密鍵をローテーションすることを推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Mastra NPMサプライチェーン攻撃への対応について
お疲れさまです。Mastraフレームワークを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループ「Sapphire Sleet」がNPMメンテナーアカウントを侵害し、悪意のある依存パッケージ「easy-day-js」をMastraエコシステムの141個のパッケージに混入させました。これにより、インストールした環境で任意のコードが実行されるリスクがあります。
■ 影響範囲
- 対象製品: Mastra (TypeScript framework for AI agents)
- 影響期間: 2024年6月17日の約45分間
- 悪意のあるパッケージ: easy-day-js
■ 対応手順
1. 開発環境および本番環境の package-lock.json または yarn.lock を確認し、「easy-day-js」が含まれていないかスキャンしてください。
2. 該当パッケージが検出された場合、直ちに削除し、最新のクリーンなバージョンへ更新してください。
3. 侵害された環境で利用していたAPIキーや環境変数をすべて無効化し、再発行してください。
■ 参考情報
- Microsoft Threat Intelligence Report
対応優先度: 高
対応期限: 至急
お疲れさまです。Mastraフレームワークを標的としたサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループ「Sapphire Sleet」がNPMメンテナーアカウントを侵害し、悪意のある依存パッケージ「easy-day-js」をMastraエコシステムの141個のパッケージに混入させました。これにより、インストールした環境で任意のコードが実行されるリスクがあります。
■ 影響範囲
- 対象製品: Mastra (TypeScript framework for AI agents)
- 影響期間: 2024年6月17日の約45分間
- 悪意のあるパッケージ: easy-day-js
■ 対応手順
1. 開発環境および本番環境の package-lock.json または yarn.lock を確認し、「easy-day-js」が含まれていないかスキャンしてください。
2. 該当パッケージが検出された場合、直ちに削除し、最新のクリーンなバージョンへ更新してください。
3. 侵害された環境で利用していたAPIキーや環境変数をすべて無効化し、再発行してください。
■ 参考情報
- Microsoft Threat Intelligence Report
対応優先度: 高
対応期限: 至急
Subject: [Security Alert] Mastra NPM Supply Chain Attack
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Mastra AI framework.
■ Overview
The North Korean threat actor Sapphire Sleet compromised an NPM maintainer account to inject a malicious typosquatted dependency, 'easy-day-js' (mimicking 'dayjs'), into 141 packages within the Mastra ecosystem. This allows for potential remote code execution on systems that installed the affected versions.
■ Scope
- Affected Product: Mastra (TypeScript framework for AI agents)
- Attack Window: June 17, 2024 (approx. 45-minute window)
- Malicious Package: easy-day-js
■ Action Plan
1. Audit package-lock.json or yarn.lock files across development and production environments for the presence of 'easy-day-js'.
2. If detected, immediately remove the malicious package and update to a verified clean version.
3. Rotate all API keys, secrets, and environment variables that were present on the affected systems.
■ Reference
- Microsoft Threat Intelligence Report
Priority: High
Deadline: Immediate
Dear IT/Security Team,
We are sharing information regarding a supply chain attack targeting the Mastra AI framework.
■ Overview
The North Korean threat actor Sapphire Sleet compromised an NPM maintainer account to inject a malicious typosquatted dependency, 'easy-day-js' (mimicking 'dayjs'), into 141 packages within the Mastra ecosystem. This allows for potential remote code execution on systems that installed the affected versions.
■ Scope
- Affected Product: Mastra (TypeScript framework for AI agents)
- Attack Window: June 17, 2024 (approx. 45-minute window)
- Malicious Package: easy-day-js
■ Action Plan
1. Audit package-lock.json or yarn.lock files across development and production environments for the presence of 'easy-day-js'.
2. If detected, immediately remove the malicious package and update to a verified clean version.
3. Rotate all API keys, secrets, and environment variables that were present on the affected systems.
■ Reference
- Microsoft Threat Intelligence Report
Priority: High
Deadline: Immediate