На початку цього тижня хакери зламали кілька проєктів із відкритим кодом, якими користуються десятки компаній, і поширили оновлення, призначені для розповсюдження шкідливого ПЗ. Це останній епізод у низці ланцюгових атак на ланцюги постачання, що націлюються на розробників програмного забезпечення та їхні проєкти.
У середу OpenAI підтвердила, що пристрої двох співробітників були «уражені цією атакою». Однак після розслідування компанія заявила в блозі, що не виявила «жодних доказів того, що були доступи до даних користувачів OpenAI, що наші промислові системи чи інтелектуальна власність були скомпрометовані, або що наше програмне забезпечення було змінене».
OpenAI повідомила, що пристрої співробітників були скомпрометовані внаслідок попередньої атаки на TanStack — популярну бібліотеку з відкритим кодом, яка допомагає розробникам створювати вебзастосунки.
У понеділок TanStack розкрив деталі атаки та опублікував постмортем, зазначивши, що хакери протягом шести хвилин виклали 84 шкідливі версії свого ПЗ. У проєкті заявили, що дослідник виявив атаку менш ніж за 20 хвилин. Шкідливі версії TanStack містили малвар, розроблений для викрадення облікових даних з комп’ютерів, на які встановлено це ПЗ, а також для самопоширення на інші системи.
OpenAI зі свого боку заявила, що зафіксувала несанкціонований доступ і крадіжку облікових даних «у обмеженій підмножині внутрішніх репозиторіїв вихідного коду, до яких мали доступ двоє постраждалих співробітників».
За даними компанії, з уражених репозиторіїв було викрадено «лише обмежену кількість облікових даних». Як запобіжний захід, зважаючи на те, що в цих репозиторіях зберігалися цифрові сертифікати, які використовуються для підпису продуктів OpenAI, компанія заявила, що проводить ротацію цих сертифікатів. Це, зокрема, вимагатиме оновлення застосунку користувачами macOS.
«Ми не виявили жодних доказів компрометації або ризику для вже встановленого програмного забезпечення», — написала компанія.
Наразі невідомо, хто стоїть за атакою на TanStack. Деякі попередні ланцюгові злами пов’язували з хакерським угрупованням TeamPCP, яке саме стало мішенню інших хакерів.
Водночас є й інші групи, які застосовують подібну тактику проти різних проєктів. У березні північнокорейські хакери зламали Axios — популярний інструмент розробки з відкритим кодом — і поширили шкідливе ПЗ, яке потенційно могло заразити мільйони розробників. А у травні китайських хакерів звинуватили в подібній атаці на тисячі комп’ютерів під керуванням Windows, на яких було встановлено програму для створення образів дисків Daemon Tools.
У таких атаках хакери замість прицільного удару по конкретних компаніях захоплюють проєкти з відкритим кодом і поширюють шкідливе ПЗ, замасковане під звичайні оновлення. Це дозволяє їм потенційно скомпрометувати десятки цілей одним зламом, розповсюджуючи збитки по всьому інтернету.