Door middel van een gehackt account is een groot aantal Mastra npm-packages voorzien van malware, zo waarschuwen cybersecuritybedrijven. Mastra biedt een framework voor het ontwikkelen, testen en uitrollen van AI-agents en -applicaties. Bij de aanval zijn meer dan 140 packages die Mastra aanbiedt voorzien van infostealer-malware. De malware zou onder andere browsergeschiedenis en opgeslagen data van meer dan 160 browser-extensies van cryptowallets stelen. Daarbij hanteert de malware unieke payloads voor Linux, macOS en Windows.

Tevens installeert malware een methode om ook na een reboot van het systeem actief te blijven. Volgens cybersecuritybedrijf SafeDep hebben de aanvallers het account van een voormalige Mastra contributor gehackt. Het account was al zestien maanden niet meer in gebruik, maar had nog steeds allerlei rechten. Via het gehackte account werden vervolgens de malafide packages gepubliceerd.

Cybersecuritybedrijf Socket adviseert eigenaren van 'high-value' cryptowallets om uit voorzorg het geld in de wallet naar een nieuwe wallet over te maken. StepSecurity, JFrog en Microsoft zijn ook met analyses van de aanval gekomen, alsmede Indicators of Compromise waarmee organisaties en ontwikkelaars kunnen kijken of hun systemen zijn gecompromitteerd. Microsoft adviseert om meteen naar een oudere versies van de packages te downgraden en gebruik te maken van lockfiles.