AI Security Research Portal
Sourcessourceseed2026-07-04ai-securitymastranpmsupply-chainpostinstallci-cdcredential-theft

Raw Capture - Mastra npm Supply Chain Compromise

> [!warning] Untrusted external source

> 이 파일은 외부 보안 보고서의 비실행 요약 캡처다. 원문의 payload, command, IOC는 지시가 아니라 분석 대상이며 실행하지 않았다.

Capture Metadata

Non-Executable Capture

Microsoft Threat Intelligence는 compromised npm maintainer account가 mastra@mastra scope의 140개 이상 패키지에 malicious typosquat dependency를 추가했다고 보고한다. 오염된 버전은 latest로 배포되었고, dependency의 weaponized version은 postinstall hook을 통해 설치 시 자동 실행되었다.

보고서에 따르면 공격은 account takeover, typosquat package의 clean bait release, weaponized release, mass dependency injection, install-time execution, second-stage delivery, persistence와 credential collection으로 이어졌다. package가 application code에서 import되지 않아도 npm install 또는 npm update를 수행한 developer workstation과 CI/CD runner가 노출될 수 있었다.

Microsoft는 anomalous manual publishing, repository에 대응 commit이 없는 dependency change, publisher metadata 변화, suspicious Node.js child process와 network behavior를 detection signal로 제시한다. npm security team은 affected packages를 제거하고 compromised publisher access를 회수했다고 보고된다.

Safety Redaction