Beobachtungen
Sicherheitsforscher warnen vor kompromittierten npm-Paketen des KI-Frameworks Mastra. Mehr als 140 Pakete im Namensraum @mastra waren hiervon betroffen. Die in manipulierte Versionen dieser Pakete eingebundene Abhängigkeit „easy-day-js“ imitiert die verbreitete JavaScript-Bibliothek dayjs. Über die Software-Lieferkette verteilt sich easy-day-js und lädt nach der Installation einen Remote Access Trojaner (RAT) mit dem Ziel sensible Informationen wie LLM-API-Schlüssel und Cloud-Zugangsdaten sowie Kryptowährungen abzugreifen. Die Schadsoftware persistiert plattformübergreifend unter den Betriebssystemen Windows, MacOS und Linux.
Methoden
Für den Angriff unter Nutzung der Software-Lieferkette wurde das kompromittierte npm-Konto „ehindero“ eines früheren Mastra-Mitwirkenden verwendet. Darüber wurden die manipulierten Mastra-Pakete veröffentlicht. Zunächst banden diese eine harmlose Version der eigens bereitgestellten Abhängigkeit „easy-day-js“ vom 16.06.2026 ein. Diese wurde am 17.06.2026 mit einem Schadcode erweitert, welcher unter Umgehung der Verifizierung von TLS-Zertifikaten den persistenten RAT installierte.
Attribution
Microsoft rechnet den Angriff mit hoher Wahrscheinlichkeit der APT-Gruppierung „Sapphire Sleet“ zu. Die Vorgehensweise entspricht anderen Aktivitäten dieser staatlichen Akteuren Nordkoreas zugeordneten Gruppierung. Sapphire Sleet nimmt vorwiegend den Finanzsektor einschließlich Blockchains und Kryptowährungen ins Visier, um an Geldmittel zu gelangen.
Empfehlungen
Systeme sollten auf die kompromittierten Mastra-Pakete sowie easy-day-js überprüft werden. Auch eine indirekte (transitive) Nutzung dieser Pakete stellt potentiell ein Risiko dar. Die betroffenen Paket-Versionen wurden zwischenzeitlich aus npm entfernt. Zugangsdaten und digitale Schlüssel, welche auf betroffenen Systemen abrufbar waren, sollten erneuert werden. Es ist insbesondere davon auszugehen, dass Schlüssel für Krypto-Wallets, die über zahlreiche betroffene Browser-Erweiterungen verwaltet wurden, kompromittiert sind. Vorhandene Guthaben sollten auf neue und sichere Wallets übertragen werden.