關於影響 OpenAI 之 TanStack Open Source Library 供應鏈入侵分析
導言
涉及 open-source library TanStack 的安全漏洞,導致 OpenAI 部分內部資產遭到入侵。
正文
此次事件源於針對 TanStack 的供應鏈攻擊,該工具為用於 web application 開發的 open-source utility。根據 TanStack 的事後分析,未經授權的行為者在六分鐘內發布了 84 個惡意軟件版本。這些版本包含旨在竊取憑據並在網絡系統中自動傳播的 malware。在首次部署約 20 分鐘後,相關活動被偵測到。 關於對 OpenAI 的機構影響,該組織確認有兩部員工設備遭到入侵。此次漏洞導致部分受限的內部 source code repositories 被未經授權訪問。OpenAI 報告稱,這些 repositories 中的有限憑據資料被盜。因此,該組織正對用於產品簽名的 digital certificates 進行輪換,此措施要求 macOS 用戶更新軟件。儘管發生上述入侵,OpenAI 堅稱沒有證據顯示用戶數據被訪問、intellectual property 遭到損害或 production systems 被篡改。 此事件符合 open-source 生態系統中系統性漏洞的普遍模式。攻擊者劫持受信任項目並通過合法更新渠道分發 malware 的手法,最大化了大規模傳播的可能性。歷史先例包括 3 月份被歸因於 North Korean 行為者的 Axios 開發工具入侵,以及 5 月份被歸因於 Chinese 行為者的 Daemon Tools 事件。其他類似策略則與名為 TeamPCP 的實體相關。
結論
OpenAI 已通過 certificate rotation 降低即時風險,而整個行業仍持續面對系統性的供應鏈漏洞。