mastra ソフトウェアサプライチェーン攻撃の概要と対応指針

mastra ソフトウェアサプライチェーン攻撃の概要と対応指針
DRANK

2026年6月17日、mastra および @mastra/* の複数パッケージの改ざん（ソフトウェアサプライチェーン攻撃）が発生しました。悪性の依存パッケージ easy-day-js が注入されています。 easy-day-js は postinstall フックにより C2 サーバからマルウェアペイロードを取得・実行する Stager として動作します。ペイロードはマルチプラットフォーム対応の RAT で、(1) ホスト情報の窃取、(2) OS レベルの永続化、(3) C2 への情報送信とリモートコマンド実行を行います。本記事は、弊社が Takumi Guard の解析基盤をベースに観…

blog.flatt.tech 13 days ago

Open page

https://blog.flatt.tech/entry/mastra_compromise