午方 AI 監測數據顯示，超過 140 個 Mastra npm 包正遭受協調性供應鏈攻擊。受影響的包在安裝過程中會自動添加對 easy-day-js@^1.11.21 的依賴，該依賴隨後解析爲惡意版本 easy-day-js@1.11.22，並通過安裝鉤子觸發攻擊者控制的代碼執行。

潛在攻擊行爲涵蓋跨平臺持久化駐留、瀏覽器歷史記錄收集、加密貨幣錢包擴展盤點，以及通過後續操作暴露憑證或 CI 祕鑰導致的數據外泄。對於已安裝受影響版本的系統，應視爲潛在被攻擊狀態：需移除惡意版本及 easy-day-js，刪除 node_modules 和包緩存，使用經過驗證的鎖定文件重新安裝已知乾淨版本，隔離受影響主機，保留日誌，移除持久性痕跡，並在可能暴露的情況下輪換 npm、GitHub、雲服務、SSH/Git、CI/CD 以及錢包相關的憑證。