npm-Pakete des KI-Frameworks Mastra kompromittiert
- Sicherheitshinweis
Das Landesamt für Verfassungsschutz Baden-Württemberg (LfV BW) warnt vor einer Angriffskampagne gegen npm-Pakete des KI-Frameworks Mastra. Betroffene Versionen der npm-Pakete wurden mittlerweile entfernt. Nutzende sollten dringend ihre Systeme prüfen und betroffene Versionen ersetzen.
© LfV Baden-Württemberg
Ausgangspunkt: Kompromittiertes npm-Konto
Das LfV BW veröffentlichte am 22. Juni 2026 eine Warnmeldung zu einer laufenden Angriffsserie gegen mehr als 140 npm-Pakete des KI-Frameworks Mastra. Die manipulierten Paket-Versionen verteilen das maliziöses Skript easy-day-js, das die Ausführung eines Remote Access Trojaners (RAT) anstößt. Über diesen RAT greifen Kriminelle sensible Informationen wie LLM-API-Schlüssel und Cloud-Zugangsdaten sowie Kryptowährungen ab.
Einfallstor in die Software-Lieferkette der Mastra-npm-Pakete sei das kompromittierte npm-Konto „ehindero“ eines früheren Mastra-Entwicklers.
Weitere Details finden Sie in der unten verlinkten Warnmeldung des LfV BW.
Empfehlungn des LfV BW
- Prüfen Sie Ihre Systeme auf die kompromittierten Mastra-Pakete sowie easy-day-js. Entfernen Sie betroffene Pakete sowie easy-day-js umgehend.
- Installieren Sie bereinigte Versionen der betroffenen npm-Pakete.
- Erneuern Sie Zugangsdaten und digitale Schlüssel, die auf betroffenen Systemen abrufbar waren.
- Da insbesondere davon auszugehen ist, dass Schlüssel für Krypto-Wallets kompromittiert sind, übertragen Sie vorhandene Guthaben auf neue und sichere Wallets.