Noord-Koreaanse Hackers Achter Mastra AI-aanval op npm-pakketten

Microsoft heeft een recente aanval op de toeleveringsketen van Mastra AI, waarbij meer dan 140 npm-pakketten werden gecompromitteerd, toegeschreven aan de Noord-Koreaanse hackersgroep Sapphire Sleet, ook wel bekend als BlueNoroff.

Eerder deze week onthulde Microsoft dat aanvallers een npm-maintainer-account hadden overgenomen en dit gebruikten om kwaadaardige pakketupdates te publiceren.

"Met grote zekerheid kunnen we stellen dat deze activiteit te herleiden is naar Sapphire Sleet, een Noord-Koreaanse staatsgroep die zich vooral richt op de financiële sector", aldus Microsoft in een update van 19 juni.

Aanval Begon met Overgenomen Account

De aanval startte toen de dreigingsactoren het account "ehindero" overnamen, dat publicatierechten had binnen de Mastra-omgeving. Via dit account publiceerden ze kwaadaardige updates voor meer dan 140 pakketten, waarbij ze gebruikmaakten van een kwaadaardige afhankelijkheid genaamd "easy-day-js" – een typografische misleiding van de populaire dayjs-bibliotheek.

Bij installatie voerde deze component een script uit dat malware op de apparaten van ontwikkelaars dropte, met als doel het stelen van gevoelige gegevens zoals inloggegevens, API-sleutels, authenticatietokens en cryptowallets.

Malware Richt Zich op Crypto Wallets

De tweede lading van de malware was platformonafhankelijk en richtte zich op Windows, Linux en macOS. Het verzamelde informatie over het systeem, browsergeschiedenis, geïnstalleerde applicaties en controleerde op 166 verschillende crypto wallet-extensies zoals MetaMask en Coinbase Wallet.

Afhankelijk van het besturingssysteem gebruikte de malware verschillende methoden om actief te blijven, zoals het aanpassen van Windows Register Run-sleutels, macOS LaunchAgents en Linux systemd-services.

Verdere Activiteiten door Sapphire Sleet

Microsoft meldde dat systemen die contact hadden met de command-and-control-servers van de aanvallers ook verdere activiteit vertoonden, zoals het gebruik van een PowerShell-backdoor en andere technieken die eerder met Sapphire Sleet in verband waren gebracht. Deze groep staat bekend om diefstal van cryptocurrency, kwaadaardige browserextensies en nep-sollicitatieaanbiedingen.

Daarnaast was de groep verantwoordelijk voor een andere aanval op de npm-leveringsketen met de Axios HTTP-client in april 2026.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.