OpenAI cho biết trong đợt tấn công chuỗi cung ứng mới nhất, tin tặc đã xâm nhập vào thiết bị của nhân viên và đánh cắp một số lượng nhỏ thông tin xác thực cơ sở mã nội bộ, nhưng công ty nhấn mạnh rằng dữ liệu người dùng, hệ thống sản xuất và tài sản trí tuệ cốt lõi không bị xâm phạm. Đầu tuần này, nhiều tin tặc đã tấn công nhiều dự án nguồn mở được hàng chục công ty áp dụng rộng rãi và đẩy các bản cập nhật mang mã độc vào chúng nhằm cố gắng phát tán các chương trình độc hại thông qua chuỗi cung ứng phần mềm. Đây là vụ mới nhất trong hàng loạt “cuộc tấn công chuỗi cung ứng” gần đây nhắm vào các nhà phát triển phần mềm và dự án của họ.
OpenAI đã xác nhận hôm thứ Tư rằng thiết bị của hai nhân viên công ty bị ảnh hưởng bởi cuộc tấn công, nhưng trong cuộc điều tra sau đó, OpenAI cho biết trong một bài đăng trên blog rằng không có bằng chứng nào cho thấy dữ liệu người dùng OpenAI bị truy cập, hệ thống sản xuất hoặc tài sản trí tuệ của nó bị xâm phạm và không có dấu hiệu nào cho thấy phần mềm của công ty đã bị xâm phạm. bị giả mạo.
OpenAI cho biết thiết bị của hai nhân viên đã bị xâm phạm do cuộc tấn công trước đó vào TanStack, một bộ thư viện nguồn mở được sử dụng rộng rãi giúp các nhà phát triển xây dựng ứng dụng web.
Vào thứ Hai, TanStack đã công khai tiết lộ cuộc tấn công và đưa ra một báo cáo phân tích khám nghiệm tử thi, cho biết hacker đã phát hành 84 phiên bản phần mềm độc hại chỉ trong 6 phút và một nhà nghiên cứu đã phát hiện ra điểm bất thường khoảng 20 phút sau khi cuộc tấn công bắt đầu.
Theo báo cáo, các phiên bản độc hại này được nhúng phần mềm độc hại có thể đánh cắp thông tin xác thực trong môi trường cài đặt và có khả năng tự lan truyền để lây lan sang nhiều hệ thống hơn.
OpenAI cho biết trong cơ sở mã nội bộ của công ty, nó "đã phát hiện ra hành vi truy cập trái phép và thông tin xác thực bị đánh cắp trong một phần nhỏ kho lưu trữ mã nguồn nội bộ mà nhân viên bị ảnh hưởng có thể truy cập được."
Theo công ty trí tuệ nhân tạo, chỉ một "số lượng tài liệu thông tin xác thực hạn chế" đã bị đánh cắp từ kho lưu trữ mã bị ảnh hưởng.
Hết sức thận trọng, vì các kho lưu trữ này chứa chứng chỉ kỹ thuật số được sử dụng để ký các sản phẩm OpenAI nên công ty đã quyết định luân chuyển các chứng chỉ liên quan, một động thái sẽ yêu cầu người dùng macOS cập nhật ứng dụng.
OpenAI cho biết họ không tìm thấy "bằng chứng nào cho thấy việc cài đặt phần mềm hiện tại đã bị xâm phạm hoặc gặp rủi ro".
Không rõ ai đã dàn dựng cuộc tấn công vào TanStack.
Một số cuộc tấn công vào chuỗi cung ứng trước đây được cho là do một nhóm tin tặc có tên TeamPCP thực hiện. Nhóm này trước đây từng là mục tiêu của các tin tặc khác.
Đồng thời, các nhóm khác đã sử dụng các kỹ thuật tương tự để xâm chiếm các dự án khác nhau: ví dụ: vào tháng 3 năm nay, tin tặc Triều Tiên đã chiếm quyền điều khiển công cụ phát triển nguồn mở Axios được sử dụng rộng rãi và đẩy phần mềm độc hại đến hàng triệu nhà phát triển tiềm năng thông qua dự án; và vào tháng 5, trong một cuộc tấn công khác, tin tặc Trung Quốc bị cáo buộc sử dụng một phương pháp tương tự để nhúng một cửa hậu vào phần mềm tạo ảnh đĩa Daemon Tools, nhắm mục tiêu vào hàng nghìn máy Windows đang chạy phần mềm này. máy tính.
Đặc điểm chung của kiểu tấn công này là kẻ tấn công không nhắm mục tiêu trực tiếp vào một công ty nhất định mà trước tiên chiếm quyền kiểm soát dự án nguồn mở, sau đó phân phối mã độc dưới dạng cập nhật phiên bản dường như thường xuyên.
Chiến lược này mang lại cho kẻ tấn công cơ hội tác động đến hàng chục mục tiêu cùng lúc chỉ bằng một cuộc tấn công, lây lan rủi ro và thiệt hại trên diện rộng trên Internet.