کمیته رکن چهارم – شرکت OpenAI تأیید کرد دو دستگاه متعلق به کارکنان این شرکت در جریان حمله زنجیره تأمین Mini Shai-Hulud آلوده شدهاند، اما اعلام کرد هیچ داده کاربری، سامانه تولید یا مالکیت فکری این شرکت دچار نفوذ نشده است.
به گزارش کمیته رکن چهارم، OpenAI اعلام کرده فعالیت مشاهدهشده با رفتار شناختهشده بدافزار Mini Shai-Hulud مطابقت دارد؛ بدافزاری که برای سرقت اعتبارنامهها و نفوذ به مخازن توسعه نرمافزار طراحی شده است. این شرکت تأکید کرد تنها تعداد محدودی Credential از مخازن داخلی مرتبط با دو کارمند آلوده استخراج شده و هیچ کد یا اطلاعات دیگری تحت تأثیر قرار نگرفته است.
OpenAI پس از شناسایی حادثه اقدام به ایزولهسازی سیستمها و هویتهای آلوده، لغو Sessionهای فعال، تغییر Credentialها و محدودسازی موقت فرایندهای استقرار کد کرده است. همچنین این شرکت تمام گواهیهای امضای کد محصولات iOS، macOS و Windows را باطل و مجدداً صادر کرده است.
در نتیجه این اقدام، کاربران macOS باید برنامههای ChatGPT Desktop، Codex App، Codex CLI و Atlas را به آخرین نسخه بهروزرسانی کنند. OpenAI اعلام کرده گواهیهای قبلی در تاریخ ۲۲ خرداد ۱۴۰۵ باطل خواهند شد و پس از آن، macOS اجرای نسخههای قدیمی را مسدود میکند.
این حادثه بخشی از موج حملات زنجیره تأمین مرتبط با گروه TeamPCP محسوب میشود؛ گروهی که صدها بسته مرتبط با پروژههایی مانند TanStack، Mistral AI و Guardrails AI را آلوده کرده است. بررسیها نشان میدهد بدافزار مورد استفاده دارای مکانیزمهای پیشرفته استخراج اطلاعات، کانالهای پشتیبان C2 و قابلیت سرقت گسترده Credentialها و متغیرهای محیطی است.
پیشزمینه
در ماههای اخیر حملات Supply Chain علیه اکوسیستم متنباز و پروژههای توسعه نرمافزار بهشدت افزایش یافته است. مهاجمان با آلودهسازی بستههای npm، PyPI و Workflowهای CI/CD تلاش میکنند به Credentialهای توسعهدهندگان، سرویسهای ابری و زیرساختهای سازمانی دسترسی پیدا کنند.
جمعبندی
رخداد OpenAI نشان میدهد حتی شرکتهای بزرگ فناوری نیز در برابر حملات پیچیده زنجیره تأمین مصون نیستند. کارشناسان امنیتی هشدار میدهند توسعهدهندگان و سازمانها باید نظارت دقیقتری بر Dependencyها، Pipelineهای CI/CD و Credentialهای خود داشته باشند، زیرا حملات Supply Chain اکنون به یکی از مهمترین تهدیدهای امنیت سایبری تبدیل شدهاند.
منبع: The Hacker News
