OpenAI a déclaré que des pirates avaient piraté les appareils des employés et volé un petit nombre d'informations d'identification de base de code interne lors d'une récente série d'attaques sur la chaîne d'approvisionnement, mais l'entreprise a souligné que les données des utilisateurs, les systèmes de production et la propriété intellectuelle de base n'avaient pas été compromises. Plus tôt cette semaine, plusieurs pirates ont détourné plusieurs projets open source largement adoptés par des dizaines d'entreprises et y ont introduit des mises à jour contenant du code malveillant dans le but de propager des programmes malveillants à travers la chaîne d'approvisionnement des logiciels. Il s'agit de la dernière d'une série d'attaques récentes contre la chaîne d'approvisionnement ciblant les développeurs de logiciels et leurs projets.
OpenAI a confirmé mercredi que les appareils de deux de ses employés avaient été affectés par l'attaque, mais dans une enquête ultérieure, OpenAI a déclaré dans un article de blog qu'il n'y avait aucune preuve que les données des utilisateurs d'OpenAI ont été consultées, que ses systèmes de production ou sa propriété intellectuelle ont été compromis, ou que les logiciels de l'entreprise ont été falsifiés.
OpenAI a déclaré que les appareils des deux employés avaient été compromis à la suite d'une attaque précédente contre TanStack, un ensemble de bibliothèques open source largement utilisé qui aide les développeurs à créer des applications Web.
Lundi, TanStack a rendu public l'attaque et publié un rapport d'analyse post-mortem, indiquant que les pirates ont publié 84 versions malveillantes du logiciel en seulement 6 minutes et qu'un chercheur a découvert une anomalie environ 20 minutes après le début de l'attaque.
Selon les rapports, ces versions malveillantes sont intégrées à des logiciels malveillants qui peuvent voler des informations d'identification dans l'environnement d'installation et ont la capacité de se propager à davantage de systèmes.
OpenAI a déclaré qu'au sein de la base de code interne de l'entreprise, elle "a découvert des accès non autorisés et des informations d'identification volées dans une petite partie des référentiels de code source internes accessibles aux employés concernés".
Selon la société d'intelligence artificielle, seule une « quantité limitée de documents d'identification » a été volée dans les référentiels de codes concernés.
Par prudence, étant donné que ces référentiels contiennent les certificats numériques utilisés pour signer les produits OpenAI, la société a décidé de procéder à une rotation des certificats, une décision qui obligera les utilisateurs de macOS à mettre à jour leurs applications.
OpenAI a déclaré n'avoir trouvé "aucune preuve que les installations logicielles existantes aient été compromises ou mises en danger".
On ne sait pas qui a orchestré l’attaque contre TanStack.
Un certain nombre d’attaques sur la chaîne d’approvisionnement ont déjà été attribuées à un groupe de pirates informatiques appelé TeamPCP, qui a également été ciblé par d’autres pirates dans le passé.
Dans le même temps, d’autres groupes ont utilisé des techniques similaires pour envahir différents projets : par exemple, en mars de cette année, des pirates nord-coréens ont détourné l’outil de développement open source largement utilisé Axios et ont propagé des logiciels malveillants à travers le projet vers potentiellement des millions de développeurs ; lors d'une autre attaque en mai, des pirates chinois ont été accusés d'avoir utilisé une méthode similaire pour implanter une porte dérobée dans le logiciel d'imagerie disque Daemon Tools, ciblant des milliers d'ordinateurs Windows exécutant le logiciel.
La caractéristique commune de ce type d’attaque est que l’attaquant ne cible pas directement une entreprise, mais prend d’abord le contrôle du projet open source puis diffuse du code malveillant sous la forme de mises à jour de version apparemment régulières.
Cette tactique donne aux attaquants la possibilité d'atteindre des dizaines de cibles simultanément avec une seule attaque, répartissant ainsi les risques et les dégâts sur Internet.