OpenAI称黑客在最新代码安全事件后窃取部分数据

本周早些时候，黑客劫持了多个被数十家公司使用的开源项目并推送旨在传播恶意软件的更新，这是近期针对软件开发人员及其项目的一系列所谓“供应链”攻击中的最新一起。周三，OpenAI证实两名员工的设备“受到此次攻击的影响”，但该公司在一篇博客文章中表示，经过调查，“没有证据表明OpenAI用户数据被访问，我们的生产系统或知识产权受到损害，或者我们的软件被篡改”。OpenAI称，员工设备是因之前针对TanStack（一个帮助开发人员构建Web应用的流行开源库）的攻击而受到损害。周一，TanStack披露了此次攻击并发布了事后分析，称黑客在六分钟内发布了84个恶意版本的软件，一名研究人员在20分钟内检测到了攻击，这些恶意版本包含旨在从安装该软件的计算机上窃取凭据并自我传播到其他系统的恶意软件。OpenAI方面表示，其观察到“受影响的两名员工有权访问的内部源代码仓库的有限子集”存在未授权访问和凭据被盗的情况。据这家AI巨头称，从受影响的代码仓库中只获取了“有限的凭据材料”。由于受影响的仓库包含用于签署OpenAI产品的数字证书，作为预防措施，该公司表示正在轮换证书，这将要求macOS用户更新应用，并指出“没有发现现有软件安装受到损害或存在风险的证据”。目前尚不清楚谁是TanStack攻击的幕后黑手，过去的一些供应链黑客攻击被归因于一个名为TeamPCP的黑客团伙，该团伙本身也曾是黑客攻击的目标，但也有其他团伙对其他项目采用了相同的策略，例如3月朝鲜黑客劫持了流行的开源开发工具Axios并推送可能感染数百万开发人员的恶意软件，5月中国黑客被指控对运行磁盘成像软件Daemon Tools的数千台Windows计算机发动类似攻击。在这些攻击中，黑客不是针对特定公司，而是接管开源项目并推出伪装成无害常规更新的恶意软件，从而有可能通过一次黑客攻击损害数十个目标，将损害扩散到整个互联网。