Atacantes republicam 140+ pacotes do framework Mastra com malware via conta abandonada no npm

Entre 01:12 e 02:36 UTC desta quarta-feira (17), atacantes republicaram 141 pacotes do escopo @mastra no npm com uma única dependência maliciosa, easy-day-js, segundo levantamento da Snyk publicado horas depois. O alvo é o framework open source Mastra, um dos mais usados para construir agentes em JavaScript e TypeScript, cujo pacote central, @mastra/core, soma cerca de 4 milhões de downloads por mês. A combinação faz desse o maior incidente publicamente conhecido de comprometimento de escopo npm em 2026, e atinge diretamente o pipeline de aplicações de IA empresarial.

O vetor de acesso não foi uma vulnerabilidade técnica. O atacante usou a conta "ehindero", de um ex-contribuidor cujo acesso ao escopo @mastra nunca foi revogado. Em uma janela de 84 minutos, a conta publicou novas versões em série, todas apontando para easy-day-js como dependência. O nome é um typosquat de dayjs, uma das bibliotecas de datas mais baixadas do mundo JavaScript, e foi montado com cuidado: na véspera, em 16 de junho, os criminosos publicaram easy-day-js@1.11.21 como cópia byte a byte do dayjs original; em 17 de junho subiram a versão 1.11.22, agora com payload.

O que o payload faz

A análise da Snyk descreve o passo a passo. Ao instalar o pacote, um hook postinstall desativa a verificação TLS, baixa um segundo estágio de um IP cru controlado pelos atacantes, executa o binário em background e remove os indicadores locais. O binário roda em Windows, macOS e Linux, exfiltra credenciais de carteiras de criptomoeda, tokens de browser, chaves SSH e variáveis de ambiente típicas de pipelines de CI. Em workstations de desenvolvedores que sincronizam tokens corporativos pelo Git, o efeito é direto: acesso a repositórios privados e segredos de provisionamento na nuvem.

A Orca Security registra 144 pacotes afetados; a Snyk e a Cloudsmith ficam em 141 e 142, respectivamente, com a diferença explicada por publicações posteriores que foram limpas pelo time do Mastra ainda durante a manhã. A Snyk recomenda que qualquer workstation, runner de CI ou build server que tenha instalado pacotes @mastra a partir de 16 de junho seja tratado como comprometido.

A atribuição que ainda não está confirmada

Snyk e Orca sinalizam que o tradecraft é compatível com o grupo Sapphire Sleet (BlueNoroff), unidade norte-coreana ligada ao roubo de criptoativos e a campanhas anteriores contra desenvolvedores via pacotes envenenados em npm e PyPI. A própria Snyk, no entanto, alerta que "a atribuição específica deste incidente não está confirmada" e que outras células podem estar copiando o playbook. A Microsoft Threat Intelligence já atribuiu campanhas similares ao mesmo cluster norte-coreano em comprometimentos anteriores do Axios e do web3.js.

Nada disso é coincidência de calendário. Em abril deste ano, pesquisadores do Hacker News documentaram mais de 1.700 pacotes maliciosos espalhados pelo cluster norte-coreano em npm, PyPI, Go e Rust em 12 meses, num esforço sustentado de inserir RATs em ambientes de desenvolvedor. O Mastra simplesmente era o próximo alvo de alto valor: um framework de IA jovem o suficiente para ter higiene de contas frágil, e popular o suficiente para entregar acesso a centenas de pipelines.

O efeito imediato em dois continentes

Nos Estados Unidos, onde está a maior concentração de desenvolvedores npm e onde rodam a maior parte das CI da AWS, GitHub Actions e Vercel, o vetor é direto: workstations de equipes de produto e empresas SaaS que tenham a dependência do Mastra. Times de aplicações de IA em estágio inicial são especialmente expostos, porque mantêm credenciais cloud em variáveis de ambiente locais. Na Índia, segundo polo global de desenvolvimento em JS/TS, com centros da TCS, Infosys, Wipro e dos delivery hubs de Accenture e Capgemini, o expediente do dia 17 começou com o malware já distribuído pelo registry npm e exposto a qualquer pipeline que rodasse npm install com o lock desatualizado.

Para CISOs no Brasil, a leitura é prática. Bancos e fintechs que constroem agentes internos com base em frameworks open source de IA tendem a integrar o Mastra ou alternativas como CrewAI e LangChain em projetos de POC. Auditar dependências @mastra/* instaladas após 16 de junho, revogar tokens npm de máquinas de desenvolvedor e rotacionar credenciais cloud é o piso, não o teto. O fim do mês fiscal vai trazer perguntas duras sobre quem governa a higiene da supply chain de IA dentro da casa.