江蘇
關(guān)鍵詞
供應(yīng)鏈攻擊
OpenAI 表示,在近期影響數(shù)百個(gè) npm 和 PyPI 軟件包的 TanStack 供應(yīng)鏈攻擊中,兩名員工的設(shè)備遭到入侵。作為預(yù)防措施,該公司已輪換其應(yīng)用程序的代碼簽名證書。
在今日發(fā)布的安全公告中,OpenAI 稱此次事件未影響客戶數(shù)據(jù)、生產(chǎn)系統(tǒng)、知識產(chǎn)權(quán)或已部署的軟件。
該公司表示,此次漏洞與 TeamPCP 勒索團(tuán)伙近期發(fā)起的 “Mini Shai - Hulud” 供應(yīng)鏈攻擊活動(dòng)有關(guān),該活動(dòng)通過在受信任的熱門軟件包中植入惡意更新,將開發(fā)者作為攻擊目標(biāo)。
OpenAI 解釋稱:“我們觀察到的活動(dòng)與該惡意軟件公開描述的行為一致,包括對兩名受影響員工有權(quán)訪問的部分內(nèi)部源代碼存儲庫進(jìn)行未經(jīng)授權(quán)的訪問和以竊取憑證為目的的數(shù)據(jù)滲出活動(dòng)。”
OpenAI 表示,在此次攻擊中,僅從存儲庫中竊取了有限的憑證,且沒有證據(jù)表明這些憑證被用于其他攻擊。
OpenAI 稱已隔離受影響的系統(tǒng)和賬戶、撤銷會(huì)話、輪換受影響存儲庫中的憑證,并暫時(shí)限制部署工作流程。該公司還在第三方事件響應(yīng)公司的幫助下進(jìn)行了取證調(diào)查。
用于 OpenAI macOS、Windows、iOS 和 Android 產(chǎn)品的代碼簽名證書在此次事件中也被泄露。盡管 OpenAI 尚未檢測到這些證書被濫用于簽署惡意軟件,但作為預(yù)防措施,公司正在輪換這些證書。
此次輪換意味著 macOS 用戶需在 2026 年 6 月 12 日前更新 OpenAI 桌面應(yīng)用程序,因?yàn)橛捎谔O果的公證流程,使用舊證書簽名的應(yīng)用程序可能無法啟動(dòng)或接收更新。
Windows 和 iOS 用戶不受影響,無需采取任何行動(dòng)。
TanStack 供應(yīng)鏈攻擊事件
OpenAI 的此次漏洞是 “Mini Shai - Hulud” 大規(guī)模軟件供應(yīng)鏈攻擊活動(dòng)的一部分,本周早些時(shí)候,該活動(dòng)致使數(shù)百個(gè) npm 和 PyPI 軟件包遭到入侵。
此次攻擊最初針對 TanStack 和 Mistral AI 的軟件包,隨后通過竊取的 CI/CD 憑證和合法工作流程蔓延至其他項(xiàng)目,包括 UiPath、Guardrails AI 和 OpenSearch。
Socket 和 Aikido 的研究人員最終追蹤到通過合法軟件包存儲庫分發(fā)的數(shù)百個(gè)受感染軟件包。
根據(jù) TanStack 的事后分析,攻擊者利用該項(xiàng)目 GitHub Actions 工作流程和 CI/CD 配置中的弱點(diǎn)執(zhí)行惡意代碼、從內(nèi)存中提取令牌,并通過 TanStack 的正常發(fā)布管道發(fā)布惡意軟件包。
這使得攻擊者能夠通過合法發(fā)布直接發(fā)布惡意軟件包版本,這些軟件包看起來是合法的。
在此次活動(dòng)中傳播的 “Mini Shai - Hulud” 惡意軟件旨在竊取開發(fā)者和云憑證,包括 GitHub 令牌、npm 發(fā)布令牌、AWS 憑證、Kubernetes 機(jī)密信息、SSH 密鑰和.env 文件。
安全研究人員表示,該惡意軟件還通過修改 Claude Code 鉤子和 VS Code 自動(dòng)運(yùn)行任務(wù),在開發(fā)者系統(tǒng)上實(shí)現(xiàn)持久化,即便軟件包被移除,它仍能留存。
該惡意軟件利用竊取的 GitHub 和 npm 憑證入侵維護(hù)者賬戶,將惡意有效載荷注入軟件包壓縮文件,并將新的植入木馬的軟件包版本發(fā)布到存儲庫,從而傳播到其他項(xiàng)目。
微軟威脅情報(bào)部門還報(bào)告稱,該惡意軟件啟動(dòng)了一個(gè)針對運(yùn)行俄語軟件系統(tǒng)的 Linux 信息竊取工具。該惡意軟件還包含一個(gè)破壞性的破壞組件,會(huì)在一些以色列或伊朗系統(tǒng)上隨機(jī)執(zhí)行遞歸擦除命令。
OpenAI 表示,此次事件反映了攻擊者越來越傾向于針對軟件供應(yīng)鏈而非直接攻擊個(gè)別公司,以造成更廣泛的影響。
該公司總結(jié)道:“現(xiàn)代軟件構(gòu)建于一個(gè)開源庫、軟件包管理器以及持續(xù)集成和持續(xù)部署基礎(chǔ)設(shè)施緊密相連的生態(tài)系統(tǒng)之上,這意味著上游引入的漏洞能夠在各個(gè)組織中迅速廣泛傳播。”
安全圈
網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全
實(shí)時(shí)資訊一手掌握!
好看你就分享 有用就點(diǎn)個(gè)贊
支持「安全圈」就點(diǎn)個(gè)三連吧!
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺“網(wǎng)易號”用戶上傳并發(fā)布,本平臺僅提供信息存儲服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
