Atacantes republican 140+ paquetes del framework Mastra con malware a través de una cuenta abandonada en npm

Entre 01:12 y 02:36 UTC de este miércoles (17), atacantes republicaron 141 paquetes del ámbito @mastra en npm con una única dependencia maliciosa, easy-day-js, según un estudio de Snyk publicado horas después. El objetivo es el framework open source Mastra, uno de los más utilizados para construir agentes en JavaScript y TypeScript, cuyo paquete central, @mastra/core, suma alrededor de 4 millones de descargas al mes. Esta combinación convierte a este en el mayor incidente conocido públicamente de compromiso de ámbito npm en 2026, y afecta directamente al pipeline de aplicaciones de IA empresarial.

El vector de acceso no fue una vulnerabilidad técnica. El atacante utilizó la cuenta "ehindero", de un ex-contribuidor cuyo acceso al ámbito @mastra nunca fue revocado. En una ventana de 84 minutos, la cuenta publicó nuevas versiones en serie, todas apuntando a easy-day-js como dependencia. El nombre es un typosquat de dayjs, una de las bibliotecas de fechas más descargadas del mundo JavaScript, y fue montado cuidadosamente: el día anterior, el 16 de junio, los criminales publicaron easy-day-js@1.11.21 como una copia byte a byte del dayjs original; el 17 de junio subieron la versión 1.11.22, ahora con payload.

Lo que hace el payload

El análisis de Snyk describe el paso a paso. Al instalar el paquete, un hook postinstall desactiva la verificación TLS, descarga una segunda etapa de una IP cruda controlada por los atacantes, ejecuta el binario en segundo plano y elimina los indicadores locales. El binario funciona en Windows, macOS y Linux, exfiltra credenciales de carteras de criptomonedas, tokens de navegador, claves SSH y variables de entorno típicas de pipelines de CI. En estaciones de trabajo de desarrolladores que sincronizan tokens corporativos a través de Git, el efecto es directo: acceso a repositorios privados y secretos de aprovisionamiento en la nube.

La Orca Security registra 144 paquetes afectados; Snyk y Cloudsmith cuentan 141 y 142, respectivamente, con la diferencia explicada por publicaciones posteriores que fueron limpiadas por el equipo de Mastra aún durante la mañana. Snyk recomienda que cualquier estación de trabajo, runner de CI o servidor de construcción que haya instalado paquetes @mastra a partir del 16 de junio sea tratado como comprometido.

La atribución que aún no está confirmada

Snyk y Orca indican que el tradecraft es compatible con el grupo Sapphire Sleet (BlueNoroff), unidad norcoreana vinculada al robo de criptoactivos y a campañas anteriores contra desarrolladores a través de paquetes envenenados en npm y PyPI. La propia Snyk, sin embargo, alerta que "la atribución específica de este incidente no está confirmada" y que otras células pueden estar copiando el manual de operaciones. La Microsoft Threat Intelligence ya ha atribuido campañas similares al mismo clúster norcoreano en compromisos anteriores de Axios y de web3.js.

Nada de esto es una coincidencia de calendario. En abril de este año, investigadores de Hacker News documentaron más de 1,700 paquetes maliciosos diseminados por el clúster norcoreano en npm, PyPI, Go y Rust en 12 meses, en un esfuerzo sostenido por insertar RATs en entornos de desarrollo. El Mastra simplemente era el próximo objetivo de alto valor: un framework de IA lo suficientemente joven como para tener higiene de cuentas frágil, y lo suficientemente popular como para entregar acceso a cientos de pipelines.

El efecto inmediato en dos continentes

En Estados Unidos, donde está la mayor concentración de desarrolladores npm y donde operan la mayor parte de las CI de AWS, GitHub Actions y Vercel, el vector es directo: estaciones de trabajo de equipos de producto y empresas SaaS que tienen la dependencia de Mastra. Equipos de aplicaciones de IA en etapas iniciales están especialmente expuestos, porque mantienen credenciales en la nube en variables de entorno locales. En India, segundo polo global de desarrollo en JS/TS, con centros de TCS, Infosys, Wipro y de los hubs de entrega de Accenture y Capgemini, la jornada del 17 comenzó con el malware ya distribuido por el registro npm y expuesto a cualquier pipeline que ejecutara npm install con el lock desactualizado.

Para los CISOs en Brasil, la lectura es práctica. Bancos y fintechs que construyen agentes internos basados en frameworks open source de IA tienden a integrar el Mastra o alternativas como CrewAI y LangChain en proyectos de POC. Auditar dependencias @mastra/* instaladas después del 16 de junio, revocar tokens npm de máquinas de desarrollador y rotar credenciales en la nube es el piso, no el techo. El final del mes fiscal traerá preguntas difíciles sobre quién gobierna la higiene de la supply chain de IA dentro de la organización.