Microsoft, Mastra AI kütüphanesini hedef alan son dönem tedarik zinciri saldırısının Kuzey Kore'li Sapphire Sleet (BlueNoroff) grubundan kaynaklandığını açıklamıştır. Saldırı, 140'ın üzerinde npm paketinin tehlikeye atılmasıyla sonuçlanmış ve potansiyel olarak çok sayıda yazılım geliştirici ve kurumsal ortamını etkilemiştir.
Söz konusu saldırı, tedarik zinciri güvenliği açıklarından yararlanarak, yaygın olarak kullanılan açık kaynak bileşenlerine kötü amaçlı kod enjekte etme yöntemiyle gerçekleştirilmiştir. Sapphire Sleet'in bu tür saldırılara yönelik alışkanlıkları, finansal kazanç ve sistem erişimi hedefleri çerçevesinde değerlendirilmektedir.
Microsoft, etkilenen paketlerin kullanıcılarına derhal güncelleme yapılması ve yazılım bileşen zincirinin titizlikle gözden geçirilmesi önerisinde bulunmuştur. Bu olay, açık kaynak ekosisteminde merkezi olan güvenlik denetimi ve paket yönetimi protokollerinin kritik önemini bir kez daha vurgulamıştır.
