AI-agentpakker på npm ble kapret i 27 minutter

Et kapret maintainerkonto hos Mastra ble nok til å gjøre en AI-agentplattform til distribusjonskanal for skadevare. Endor Labs beskriver et angrep der 116 pakker i @mastra-scope på npm ble publisert på nytt i løpet av 27 minutter. Mastras egen kode ble i hovedsak stående urørt. Endringen lå i package.json: en ny avhengighet til easy-day-js.

Det høres trivielt ut. Det er nettopp poenget.

easy-day-js var en typosquat som etterlignet dayjs, helt ned til beskrivelse og medfølgende dayjs.min.js. Først ble en ren lokkeversjon publisert. Deretter kom en ny versjon med postinstall-hook. Når en utvikler eller CI-jobb installerte en av de forgiftede Mastra-pakkene, kunne easy-day-js hente og kjøre en fjern payload fra en server kontrollert av angriperen.

Mastra er et åpen kildekode-verktøy for å bygge AI-applikasjoner og agenter. Ifølge Endor Labs har komponentene mer enn 28 millioner nedlastinger i måneden. Dermed treffer hendelsen ikke bare «enda en npm-sak». Den treffer den nye arbeidsflaten mange virksomheter nå bygger rundt agenter, verktøykall, utviklerautomatisering og raske eksperimenter.

Hvorfor det betyr noe

AI-agentprosjekter er ofte koblet tettere på interne systemer enn vanlige frontend-biblioteker. De får API-nøkler, tilgang til kode, dokumenter, kundedata, dev-miljøer og ofte rettigheter til å utføre handlinger. Når en agentstack drar inn en forgiftet avhengighet, kan konsekvensen bli større enn et kompromittert build. Det kan bli en snarvei inn i hele automasjonslaget.

Det mest interessante ved Mastra-angrepet er at carrier-pakkene så rene ut. Skadevaren lå ett nivå ned. En kontroll som bare scanner koden i pakken utvikleren eksplisitt installerer, kan bomme. Det samme gjelder en organisasjon som stoler blindt på at populære pakker, høy nedlastingsrate eller et kjent prosjektnavn er nok kvalitetsstempel.

Endor Labs peker også på et annet rødt flagg: de forgiftede Mastra-versjonene manglet SLSA-provenans som prosjektets GitHub Actions-pipeline normalt leverer. Det er en styringsdetalj, men en viktig en. Provenans gjør det mulig å se om en pakke faktisk ble bygget av forventet pipeline, eller om den ble publisert manuelt av et kompromittert konto.

For norske ledergrupper er læringen enkel: AI-utvikling har ikke fritak fra software supply chain-kontroll. Tvert imot. Når utviklere får flere agenter, flere CLI-er og flere rammeverk, øker antallet pakker som kan trekke kode inn i miljøet før noen har lest den.

Hva CISO og CTO bør gjøre nå

Første tiltak er å kartlegge om berørte Mastra-versjoner har vært installert i lokale miljøer, CI og containere. Ikke stopp ved package.json. Sjekk lockfiler, artifact-cache, byggelogger og developer workstations. Postinstall-hooks kjører der installasjonen skjer, ikke der applikasjonen til slutt deployes.

Andre tiltak er å stramme inn policy for install-skript. Mange organisasjoner har allerede begynt å blokkere eller kreve eksplisitt godkjenning av lifecycle-skript i npm. Den kontrollen passer spesielt godt for AI-agentprosjekter, fordi disse ofte beveger seg raskt og kombinerer nye pakker fra mange leverandører.

Tredje tiltak er å gjøre provenans til et krav, ikke en hyggelig bonus. Pakker uten forventet attestasjon bør gi stopp, karantene eller manuell vurdering. Det samme gjelder plutselige versjoner publisert utenfor normal release-prosess, av nye maintainere eller med nye avhengigheter som ligner kjente pakker.

Fjerde tiltak er å behandle agentrammeverk som privilegerte komponenter. De bør inn i SBOM, sårbarhetsstyring, leverandørrisiko og secrets-governance på samme måte som identitetsplattformer og CI/CD. Hvis en agent kan lese kode, kalle interne API-er eller skrive til produksjonsnære systemer, er den ikke et leketøy i utviklerverktøykassen. Den er en del av kontrollplanet.

Den praktiske styresaken

Dette er ikke en sak om at npm er farlig og alt må fryses. Det er en sak om tempo. AI-prosjekter henter inn avhengigheter raskere enn de fleste governance-prosesser klarer å godkjenne dem. Da må kontrollene flyttes nærmere der beslutningen tas: i package manager, CI, artifact registry og policy engine.

Spørsmålet styret bør stille er ikke om virksomheten bruker Mastra. Spørsmålet er om virksomheten ville oppdaget en tilsvarende hendelse i et annet agentrammeverk før koden rakk å kjøre med interne nøkler.

Hvis svaret er uklart, er risikonivået også uklart.

Kilder og medier

Primærkilde: Endor Labs, «Mastra npm Org Compromised: Multiple Packages Trojanized to Drop a Remote Payload via easy-day-js»: https://www.endorlabs.com/learn/mastra-npm-org-compromised-multiple-packages-trojanized-to-drop-a-remote-payload-via-easy-day-js

Kildekreditering: Endor Labs for teknisk analyse, pakkeomfang, tidslinje, provenansfunn og beskrivelse av easy-day-js.

Thumbnail: OpenAI Image 2 / hogby.ai.