Mastra expose le risque des outils IA

Microsoft Threat Intelligence a documenté une attaque de chaîne d’approvisionnement qui a touché plus de 140 paquets npm des périmètres mastra et @mastra, utilisés dans l’écosystème Mastra pour bâtir des agents IA. Selon Microsoft, l’accès de publication d’un compte mainteneur npm, ehindero, a été compromis. L’attaquant s’en est servi pour publier des versions empoisonnées qui ajoutaient une dépendance nommée easy-day-js, imitation malveillante de la bibliothèque dayjs. Les paquets compromis ont depuis été retirés et l’accès du compte au périmètre Mastra a été révoqué.

Le détail technique est important pour les équipes qui expérimentent avec les agents. Le code applicatif de Mastra n’avait pas besoin d’être appelé pour que le risque existe. Une installation ou une mise à jour npm suffisait : easy-day-js exécutait un script postinstall, c’est-à-dire une commande lancée automatiquement pendant l’installation. D’après Microsoft, ce script désactivait la vérification TLS, contactait une infrastructure de commande et contrôle, téléchargeait une seconde charge utile, puis la lançait comme processus Node.js détaché. Autrement dit, le danger se situait dans la mécanique de livraison du logiciel, avant même l’usage réel du framework.

Cette attaque mérite une brève IA, même si elle ressemble d’abord à un sujet cybersécurité, parce qu’elle vise une brique de développement agentique. Les outils d’agents circulent souvent dans des environnements riches en secrets : clés d’API de modèles, jetons cloud, variables CI/CD, accès aux bases de données, parfois portefeuilles crypto de test ou de production. Microsoft écrit que tout poste développeur ou pipeline CI/CD ayant exécuté npm install ou npm update après la publication des versions compromises a pu être exposé. Le 19 juin, l’entreprise a ajouté attribuer l’activité avec une confiance élevée à Sapphire Sleet, un acteur nord-coréen déjà associé à des opérations contre le secteur financier.

La leçon pratique est sobre. La sécurité de l’IA ne se limite pas aux garde-fous de modèle, aux prompts ou aux permissions runtime. Elle commence aussi dans les registres de paquets, les comptes mainteneurs, les scripts d’installation et la provenance des versions. Pour les équipes qui intègrent rapidement des frameworks d’agents, l’incident Mastra rappelle trois réflexes : vérifier les lockfiles, surveiller les scripts postinstall, et traiter une dépendance compromise comme une compromission potentielle de l’environnement qui l’a installée. Dans un monde d’agents capables d’agir, payer ou déployer, la chaîne logicielle qui les construit devient elle-même une surface d’attaque prioritaire.