На этой неделе злонамеренные группы захватили несколько открытых проектов, используемых десятками компаний, и выпустили обновления, содержащие вредоносный код. Это очередная волна атак типа «цепочка поставок», направленных на разработчиков программного обеспечения и их репозитории.
nOpenAI сообщила, что два сотрудника столкнулись с последствиями этой атаки. После расследования компания заявила, что не обнаружила доступа к пользовательским данным, компрометации производственных систем или изменения собственного программного кода.
nВиновником компрометации устройств сотрудников стала ранее проведённая атака на TanStack – популярную библиотеку, помогающую разработчикам создавать веб‑приложения. В понедельник команда TanStack раскрыла детали инцидента: за шесть минут было опубликовано 84 вредоносных версии её программного обеспечения. Один из исследователей обнаружил атаку уже через 20 минут, а вредоносные сборки пытались украсть учётные данные и самостоятельно распространяться на другие системы.
nOpenAI также отметила, что в результате атаки был получен ограниченный доступ к внутренним репозиториям кода, где хранилась часть учётных данных. В качестве меры предосторожности компания начала заменять цифровые сертификаты, используемые для подписи своих продуктов, что потребует обновления приложений у пользователей macOS.
nНа данный момент не выявлено признаков компрометации уже установленных программных решений. Однако остаётся неизвестным, кто стоит за атакой на TanStack. В прошлом аналогичные операции связывали с группой TeamPCP, а также с государственными акторами из Северной Кореи и Китая, которые уже использовали подобные тактики против других open‑source инструментов.
nГлавный риск таких атак – возможность захвата открытого проекта и внедрения в него вредоносного кода, который выглядит как обычное обновление. Это позволяет злоумышленникам одновременно затронуть множество компаний, минимизируя затраты на отдельные взломы.
n*Признаны экстремистскими организациями и запрещены на территории РФ.
