Ataque supply chain compromete 140+ pacotes npm do Mastra AI via typosquat easy-day-js

## O ataque

Em 17 de junho de 2026, um atacante sequestrou a conta npm de um colaborador do projeto Mastra AI ("ehindero") cujo acesso de publicação ao escopo @mastra nunca foi revogado. Em 88 minutos, 140+ pacotes do ecossistema Mastra foram republicados com a dependência maliciosa **easy-day-js** adicionada silenciosamente.

**easy-day-js** é um typosquat do popular pacote `dayjs` (biblioteca de datas). Sua versão mais recente continha um hook `postinstall` ofuscado (`setup.cjs`) que:

1. Desativava verificação TLS 2. Gravava marcadores em diretórios temporários 3. Baixava um payload de segunda fase de infraestrutura C2 controlada pelo atacante 4. Iniciava o payload como processo em background desanexado 5. Auto-deletava para remover evidências forenses

## Capacidades do implante

O implante funcionava como cliente C2 capaz de: - Roubar dados de **carteiras de criptomoedas** (166+ extensões de browser) - Coletar histórico de navegação - Executar código arbitrário nos sistemas comprometidos

## Impacto e escopo

- **Pacotes afetados:** 140+ no escopo @mastra - **Downloads semanais combinados:** 1,1 milhão - **Janela de exposição:** a partir de 16 de junho de 2026

## Ação imediata recomendada

Qualquer sistema de desenvolvimento, runner de CI ou build que instalou pacotes @mastra/* após 16 de junho de 2026 deve ser tratado como **totalmente comprometido**. Realizar análise forense, rotacionar credenciais e revogar tokens armazenados nesses ambientes.