OpenAI称黑客在最新代码安全问题后窃取了一些数据

本周早些时候，黑客劫持了数十家公司使用的几个开源项目，并推送了旨在传播恶意软件的更新。这是最近针对软件开发人员及其项目的一系列供应链攻击中的最新一起。

周三，OpenAI证实两名员工的设备“受到了此次攻击的影响”。但是，经过调查，该公司在一篇博客文章中表示，“没有证据表明OpenAI用户数据被访问，我们的生产系统或知识产权受到损害，或者我们的软件被更改。”

OpenAI表示，员工的设备因早期对TanStack的攻击而受到损害，TanStack是一个主流的开源库，可帮助开发人员构建Web应用程序。

周一，TanStack披露了这次攻击并发布了一份事后报告，称黑客在6分钟的时间内发布了84个恶意版本的软件。该项目表示，研究人员在20分钟内发现了这次攻击。恶意TanStack版本包含恶意软件，旨在从安装该软件的计算机上窃取凭据，并进行自我传播以传播到其他系统。

联系我们您有关于此次供应链攻击的更多信息吗？还是其他供应链妥协？在非工作设备上，您可以通过Signal（+1 917 257 1382）或通过Telegram和Keybase @lorenzofb、oremail安全地联系Lorenzo Franceschi-Bicchierai。

OpenAI则表示，“在两名受影响的员工有权访问的内部源代码存储库的有限子集中”，发现了未经授权的访问和凭据被盗的情况。

据这家人工智能巨头称，从受影响的代码存储库中仅获取了“有限的凭证材料”。作为预防措施，鉴于受影响的存储库包含用于签署OpenAI产品的数字证书，该公司表示将“作为预防措施”轮换证书，这将要求macOS用户更新应用程序。

该公司写道：“我们没有发现现有软件安装受到损害或存在风险的证据。”

目前尚不清楚TanStack攻击的幕后黑手是谁。过去的一些供应链黑客攻击被归咎于一个名为TeamPCP的黑客团伙，该组织本身就是黑客的目标。

但也有其他团体对其他项目采用了相同的策略。今年3月，朝鲜黑客劫持了主流的开源开发工具Axios，并传播了可能感染数百万开发者的恶意软件。 5月份，中国黑客被指控针对数千台运行光盘映像软件Daemon Tools的Windows计算机发起了类似的攻击。

在这些攻击中，黑客不是针对特定公司，而是接管开源项目并推出伪装成无害定期更新的恶意软件。这使得他们只需一次黑客攻击就有可能危及数十个目标，并将损害传播到互联网上。