https://brdefense.center/tags/mastra/Recent content in Mastra on BR Defense CenterHugopt-brWed, 17 Jun 2026 05:51:22 -0300https://brdefense.center/news/pacotes-npm-do-mastra-comprometidos-em-ataque-a-ca/Wed, 17 Jun 2026 05:51:22 -0300https://brdefense.center/news/pacotes-npm-do-mastra-comprometidos-em-ataque-a-ca/<p>Um ataque à cadeia de suprimentos de software, denominado easy-day-js, comprometeu 144 pacotes npm associados ao namespace Mastra, um framework popular de JavaScript e TypeScript para aplicações de inteligência artificial. O ataque foi identificado por empresas de segurança como JFrog, SafeDep, Socket e StepSecurity. Um único usuário npm, identificado como &rsquo;ehindero&rsquo;, publicou mais de 140 pacotes maliciosos em um curto espaço de tempo. Embora os pacotes infectados não contenham código malicioso, eles dependem de uma biblioteca de terceiros chamada &rsquo;easy-day-js&rsquo;, que foi alterada para incluir um payload ofuscado. Esse payload é ativado durante um hook de pós-instalação e se conecta a um servidor controlado pelos atacantes para baixar um trojan que rouba informações, incluindo dados de carteiras de criptomoedas. O ataque afetou pacotes amplamente utilizados, como o @mastra/core, que possui mais de 918 mil downloads semanais. A Npm já removeu as versões maliciosas, mas qualquer ambiente que tenha instalado essas versões deve ser considerado potencialmente comprometido.</p>