OpenAI称在最近一轮供应链攻击中,黑客曾入侵其员工设备并窃取少量内部代码库凭证,但公司强调用户数据、生产系统和核心知识产权未遭泄露。本周早些时候,多名黑客劫持了多个被数十家公司广泛采用的开源项目,并向其中推送携带恶意代码的更新,试图通过软件供应链传播恶意程序,这是近期一系列针对软件开发者及其项目的“供应链攻击”最新一例。
OpenAI周三证实,公司有两名员工的设备受到此次攻击影响,但在随后的调查中,OpenAI在一篇博客文章中表示,没有证据表明OpenAI的用户数据被访问,其生产系统或知识产权遭到破坏,亦没有迹象显示公司软件被篡改。
OpenAI表示,这两名员工的设备是因此前针对TanStack的攻击而遭到入侵;TanStack是一套广泛使用的开源库,用于帮助开发者构建Web应用。
本周一,TanStack公开披露这起攻击并发布事后分析报告,称黑客在短短6分钟内发布了84个恶意版本的软件,而一名研究人员在攻击开始约20分钟后发现异常。
据介绍,这些恶意版本内植入了可窃取安装环境中凭证的恶意软件,并具备自我传播能力,以便扩散至更多系统。
OpenAI方面称,在公司内部代码库中,其“在受影响员工可访问的一小部分内部源代码仓库中发现了未经授权的访问以及凭证被窃的情况”。
据这家人工智能企业介绍,从这些受影响的代码仓库中,只有“有限数量的凭证材料”遭到窃取。
出于谨慎考虑,由于这些仓库中包含用于对OpenAI产品进行签名的数字证书,公司决定对相关证书进行轮换,这一举措将要求macOS用户更新应用程序。
OpenAI表示,目前“没有发现现有软件安装被攻破或面临风险的证据”。
目前尚不清楚是谁策划了此次针对TanStack的攻击。
此前,一些供应链攻击被归因于一个名为TeamPCP的黑客团伙,而这一团伙过去也曾成为其他黑客攻击的目标。
与此同时,还有其他组织采用类似手法入侵不同项目:例如今年3月,朝鲜黑客劫持了广泛使用的开源开发工具Axios,将恶意软件通过该项目推送给潜在数百万名开发者;而在5月,另一起攻击中,中国黑客被指控通过类似方式,将后门植入光盘映像软件DaemonTools,目标是成千上万台运行该软件的Windows计算机。
这类攻击的共同特点是,攻击者并非直接锁定某一家公司,而是先夺取开源项目控制权,再以看似常规的版本更新形式分发恶意代码。
这种策略让攻击者有机会通过一次攻击同时波及数十个目标,将风险和破坏在互联网范围内广泛扩散。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】