Sicherheitsforscher haben einen Lieferkettenangriff auf das KI-Framework Mastra dokumentiert. Ein gekapertes npm-Konto verteilte in kurzer Zeit mehr als 140 manipulierte Pakete. Diese luden über eine getarnte Abhängigkeit beim Installieren einen plattformübergreifenden Schädling nach, der Cloud-Zugänge, CI/CD-Tokens und SSH-Schlüssel abgriff. Die Mastra-Pakete selbst blieben dabei unverändert.