Хакеры добрались до репозиториев OpenAI с сертификатами подписи продуктов
Компания OpenAI, разработчик ChatGPT, подтвердила, что хакеры через заражённую библиотеку TanStack скомпрометировали устройства двух сотрудников и похитили учётные данные и цифровые сертификаты из внутренних репозиториев. Среди похищенного — сертификаты, которыми удостоверяется подлинность ПО OpenAI. Атаки через популярные инструменты разработчиков участились: по той же схеме ранее были скомпрометированы библиотеки Axios и Daemon Tools.
Хакеры получили доступ к внутренним репозиториям OpenAI, создателя ChatGPT, через атаку на цепочку поставок с использованием библиотеки TanStack. OpenAI опубликовала официальное заявление 14 мая.
TanStack — широко распространённая open source библиотека для разработки веб-приложений. Злоумышленники взломали её инфраструктуру и за шесть минут опубликовали 84 вредоносные версии пакета с кодом для кражи учётных данных с машин разработчиков и самораспространения на другие системы. Команда TanStack опубликовала разбор инцидента: атаку удалось выявить в течение 20 минут.
Через заражённые версии TanStack атакующие получили несанкционированный доступ к устройствам двух сотрудников OpenAI, а через них — к внутренним репозиториям с исходным кодом. Из репозиториев была похищена часть учётных данных. По итогам расследования OpenAI заявила, что доступа к данным пользователей, производственным системам или интеллектуальной собственности компании получено не было, программное обеспечение изменено не было.
Особую проблему создало то, что скомпрометированные репозитории содержали цифровые сертификаты, используемые для подписи продуктов OpenAI. В качестве меры предосторожности компания приступила к их ротации.
Атака на TanStack входит в волну недавних инцидентов, направленных против популярных инструментов разработчиков. Кто именно стоит за взломом TanStack, не установлено. При этом часть схожих атак на цепочки поставок связывают с хакерской группировкой TeamPCP. Ранее SecPost писал об атаке на библиотеку Axios, затронувшей миллионы проектов, — её связали с северокорейской группировкой UNC1069. Суть тактики во всех случаях одна: захват одного популярного пакета позволяет через единственную атаку добраться до десятков организаций, которые устанавливают заражённые обновления в штатном режиме.
