OpenAI potvrdila bezpečnostní incident, který souvisí s rozsáhlým útokem na open source ekosystém. Podle firmy byla zasažena zařízení dvou zaměstnanců. Útočníci se přes kompromitované balíčky TanStack dostali k části interních repozitářů, ke kterým měli tito pracovníci přístup.
Společnost však zdůrazňuje, že nenašla žádný důkaz o přístupu k uživatelským datům. Podle OpenAI nebyly kompromitovány produkční systémy, duševní vlastnictví ani samotný software. Firma zároveň uvedla, že nedošlo k úpravě jejích aplikací.
Útok začal u vývojářských nástrojů
Incident navazuje na útok na TanStack, populární open source knihovnu pro vývoj webových aplikací. Podle postmortem zprávy TanStacku útočníci publikovali 84 škodlivých verzí během krátkého šestiminutového okna. Bezpečnostní výzkumník měl problém odhalit přibližně do 20 minut.
Škodlivé balíčky byly navrženy tak, aby kradly přihlašovací údaje a šířily se dále do dalších systémů. BleepingComputer uvedl, že kampaň zasáhla stovky balíčků napříč npm a PyPI. Útočníci podle zjištění zneužili důvěryhodné vývojářské procesy, což ztížilo okamžité rozpoznání problému.
OpenAI mění certifikáty jako pojistku
OpenAI uvedla, že zasažené repozitáře obsahovaly pouze omezený materiál související s přístupovými údaji. Protože se mezi nimi nacházely i digitální certifikáty používané k podepisování produktů, firma je začala preventivně rotovat. Uživatelé macOS aplikace proto budou muset provést aktualizaci.
Případ znovu ukazuje, jak citlivým místem se staly open source závislosti. Útočníci nemusí napadnout konkrétní firmu přímo. Stačí jim ovládnout široce používaný vývojářský nástroj a škodlivý kód se může šířit napříč celým technologickým sektorem.
Pro kryptoměnové firmy jde o důležité varování. Burzy, peněženky i fintech aplikace stojí na rozsáhlém softwarovém řetězci. Každá závislost tak představuje potenciální riziko, které může ohrozit infrastrukturu, přístupové klíče i důvěru uživatelů.