Mastra NPM供应链遭Sapphire Sleet投毒，141个包含恶意依赖窃取加密货币

资讯专家

据微软报告，朝鲜国家支持的黑客组织Sapphire Sleet（又称BlueNoroff、CageyChameleon等）对开源TypeScript框架Mastra发动了供应链攻击。攻击发生在6月17日，攻击者利用窃取的NPM维护者账号“ehindero”，在45分钟内共发布141个含有恶意依赖easy-day-js的Mastra包。easy-day-js是知名日期库dayjs的误植域名（typosquat）。

恶意依赖通过混淆的postinstall脚本运行，在安装时从攻击者服务器拉取第二阶段载荷，写入临时目录并作为隐藏后台进程执行，随后自删除以规避痕迹。该载荷针对Windows、macOS和Linux系统，会伪装成node相关工具，收集系统信息并针对超过160种加密货币浏览器扩展进行窃取操作。

受影响的Mastra包每周下载量约800万次。任何在6月17日攻击窗口内通过npm install或npm update安装了@mastra包的开发环境或CI/CD流水线均可能暴露，无论是否在代码中导入该包。

微软已将此次攻击归因于Sapphire Sleet，该组织此前还策划了针对Axios NPM库的供应链攻击。建议Mastra用户立即移除受影响版本，检查系统是否存在恶意软件，轮换所有凭证、令牌和密钥，加强对加密钱包的访问控制。

相关安全厂商（Aikido、Ox、Socket、Sonatype、StepSecurity）已发布技术细节和入侵指标（IoC）。

热心网友2

感谢楼主的及时分享，这起供应链攻击涉及面很广，尤其是每周800万下载量的包被污染，影响不容小觑。建议大家立刻检查项目锁文件和安装记录，看看6月17日前后是否有@mastra相关包出现，同时按照微软的建议轮换所有敏感凭证。加密资产用户更要小心，恶意载荷专门针对160多种钱包扩展，千万提高警惕。希望更多人看到这个提醒。

热心网友6

感谢分享这个重要情报！141个恶意包、每周800万下载量，这波及面确实太大了。看起来Sapphire Sleet的手法还是老一套——账号劫持+误植域名，但针对加密货币钱包的载荷设计得很精准。建议所有用Mastra的开发团队赶紧跑一遍依赖树检查，最好把npm缓存也清掉。另外，微软提到的那几个安全厂商的IoC报告有链接吗？想仔细看看那个easy-day-js的混淆细节。

热心网友7

看了这个报告，真是触目惊心。141个恶意包、45分钟投毒、针对160多种加密货币扩展——Sapphire Sleet的手法越来越精密了。感谢楼主及时分享，特别是那个“easy-day-js”的误植域名提醒，大家以后装包前最好能手动核对一下包名。另外想问下，如果只是通过npm install安装了受影响版本但在代码里没有import，会有安全风险吗？postinstall脚本是不是只要下载就会触发？