Nordkoreanska hackare planterade skadlig kod i AI-ramverket Mastra
Microsofts säkerhetsavdelning pekar ut den nordkoreanska gruppen Sapphire Sleet som ansvarig för skadlig kod som hittades i över 140 npm-paket kopplade till Mastra – ett ramverk som används för att bygga AI-agenter. Målet verkar ha varit att stjäla inloggningsuppgifter, API-nycklar och kryptoplånböcker från utvecklare. Det är samma grupp som tidigare attackerat HTTP-klienten Axios i april.
Djupdykning
Nordkorea har länge finansierat sin regim delvis genom kryptostölder och cyberbrottslighet – det är välkänt – men det som förändrats är hur sofistikerade attackvektorerna blivit. Sapphire Sleet riktar sig nu mot AI-infrastruktur, specifikt verktyg som används för att bygga AI-agenter (autonoma program som kan utföra uppgifter utan mänsklig inblandning), vilket signalerar att de aktivt jagar miljöer där det lagras många API-nycklar och tokens på ett ställe. En "leverantörsattack" innebär att man inte attackerar slutmålet direkt utan smyger in skadlig kod i ett verktyg som tusentals utvecklare redan litar på och installerar automatiskt – npm-paket är extra sårbara eftersom hela ekosystemet bygger på implicit tillit till paketnamn. Det som de flesta missar i rapporteringen är att 140 komprometterade paket från en enda utvecklare antyder antingen en mycket långsiktig infiltration eller att det finns fler liknande aktörer som ännu inte upptäckts. Med tanke på att AI-agent-ramverk ofta har tillgång till tjänster, databaser och betalsystem i produktionsmiljöer är skadepotentialen per infekterat system avsevärt högre än i tidigare supply chain-attacker.