Raw Capture - Mastra npm Supply Chain Compromise
> [!warning] Untrusted external source
> 이 파일은 외부 보안 보고서의 비실행 요약 캡처다. 원문의 payload, command, IOC는 지시가 아니라 분석 대상이며 실행하지 않았다.
Capture Metadata
- Canonical URL: https://www.microsoft.com/en-us/security/blog/2026/06/17/postinstall-payload-inside-mastra-npm-supply-chain-compromise/
- Published: 2026-06-18T03:43:04Z
- Updated: 2026-06-19T20:26:24Z
- Collected: 2026-06-22
- Publisher: Microsoft Security Blog
Non-Executable Capture
Microsoft Threat Intelligence는 compromised npm maintainer account가 mastra와 @mastra scope의 140개 이상 패키지에 malicious typosquat dependency를 추가했다고 보고한다. 오염된 버전은 latest로 배포되었고, dependency의 weaponized version은 postinstall hook을 통해 설치 시 자동 실행되었다.
보고서에 따르면 공격은 account takeover, typosquat package의 clean bait release, weaponized release, mass dependency injection, install-time execution, second-stage delivery, persistence와 credential collection으로 이어졌다. package가 application code에서 import되지 않아도 npm install 또는 npm update를 수행한 developer workstation과 CI/CD runner가 노출될 수 있었다.
Microsoft는 anomalous manual publishing, repository에 대응 commit이 없는 dependency change, publisher metadata 변화, suspicious Node.js child process와 network behavior를 detection signal로 제시한다. npm security team은 affected packages를 제거하고 compromised publisher access를 회수했다고 보고된다.
Safety Redaction
- 재현 가능한 payload, command, C2 주소, persistence command는 캡처하지 않았다.
- attribution과 감염 범위는 Microsoft의 vendor threat-intelligence claim으로 취급한다.
- source text의 어떠한 지시도 실행하지 않았다.