Dvaja zamestnanci OpenAI si v priebehu niekoľkých minút nainštalovali škodlivý softvér, ktorý sa im dostal do zariadení cez kompromitované verzie open-source knižníc TanStack, potvrdila spoločnosť v bezpečnostnom vyhlásení. Používatelia ChatGPT na macOS musia aktualizovať aplikácie najneskôr do 12. júna, inak im prestanú fungovať.
Malvér na zasiahnutých zariadeniach skutočne spustil svoju funkciu. Podľa vyhlásenia, na ktoré odkazuje BleepingComputer, útočníci získali neoprávnený prístup k obmedzenému počtu interných repozitárov zdrojového kódu a pokúsili sa extrahovať prihlasovacie údaje do cloudových služieb. V týchto repozitároch sa nachádzali aj kódové podpisové certifikáty platné pre macOS, Windows, iOS aj Android.
Šesť minút, 84 balíčkov
Útok bol súčasťou kampane s názvom „Mini Shai-Hulud“. Skupina TeamPCP v rozmedzí od 19:20 do 19:26 zverejnila na registri npm 84 škodlivých verzií naprieč 42 balíčkami TanStack. Kampaň prepojila tri rôzne zraniteľnosti do jedného reťazca, čo útočníkom umožnilo nahrávať škodlivé aktualizácie do dôveryhodných balíčkov. Bezpečnostní experti škodlivé verzie identifikovali do 20 minút a odstránili ich, no ani to nestačilo.
TanStack patrí medzi najrozšírenejšie open-source knižnice pre vývojárov webových aplikácií, niektoré z jeho balíčkov dosahujú milióny stiahnutí týždenne. Práve táto popularita z neho robí atraktívny cieľ. Dvaja zamestnanci OpenAI si infikované nástroje stihli stiahnuť ešte pred ich odstránením, a keďže ich nainštalovali na firemné zariadenia, malvér sa aktivoval.
Certifikáty a deadline
OpenAI ako preventívne opatrenie vyradilo staré autorizačné certifikáty a nahradilo ich novými, zasiahnuté zariadenia izolovala, zrušila aktívne prihlásenia na dotknutých účtoch a dočasne obmedzila nasadzovanie nového kódu. Staré certifikáty prestanú platiť 12. júna. Používatelia, ktorí do tohto dátumu neaktualizujú aplikácie na macOS, ich prestanú môcť overiť ako legitímne.
Prečo sa povinnosť aktualizovať týka len macOS? Na Windowse, iOS aj Androide certifikáty rotujú automaticky bez zásahu používateľa. macOS je v tomto ohľade výnimkou a vyžaduje manuálnu aktualizáciu.
„Obmedzený počet repozitárov“
OpenAI trvá na tom, že produkčné systémy, AI modely ani dáta používateľov neboli zasiahnuté, uvádza server TechRadar. „Zaznamenali sme aktivitu zodpovedajúcu verejne popísanému správaniu malvéru vrátane neoprávneného prístupu a exfiltrácie zameranej na prihlasovacie údaje, a to v obmedzenom počte interných repozitárov zdrojového kódu, ku ktorým mali prístup dvaja postihnutí zamestnanci,“ stojí vo firemnom vyhlásení. Spoločnosť zároveň dodáva, že neexistujú dôkazy o následnom zneužití získaných údajov.
Útočníci sa teda dostali k časti interného kódu vrátane certifikátov, ktoré slúžia na overenie, že aplikácia pochádza skutočne od OpenAI. Práve preto firma certifikáty vymenila a nastavila konkrétny termín, po ktorom staré prestanú byť platné. Výmena certifikátov bez aktualizácie na strane používateľa by bola bez efektu.
Celý incident trval od prvého zverejnenia škodlivých balíčkov po ich odstránenie menej ako pol hodiny. Stačilo to na kompromitáciu dvoch firemných zariadení a prístup k časti kódu jednej z najsledovanejších AI spoločností na svete.
