mastra ソフトウェアサプライチェーン攻撃の概要と対応指針

概要

2026年6月17日、AIエージェントフレームワーク「mastra」および関連パッケージ群が改ざんされるソフトウェアサプライチェーン攻撃が発生した。悪性の依存パッケージ「easy-day-js」が注入され、postinstallフックによりC2サーバからマルウェアペイロードが実行される仕組みになっている。GMO Flatt Securityが詳細な概要と対応指針を公開した。

詳細

• 攻撃対象: mastra および @mastra/* の複数パッケージ
• 攻撃手法: 悪性依存パッケージ easy-day-js の注入
• 挙動: postinstallフックでC2サーバからマルウェアペイロードを取得・実行（Stager動作）
• 影響: mastraを利用している開発者・プロジェクトが対象
• 対策: 影響を受けるパッケージのバージョン確認と更新が必要

参照

• 出典: https://blog.flatt.tech/entry/mastra_compromise
• はてなブックマーク数: 23