OpenAI dijo que los piratas informáticos habían vulnerado los dispositivos de los empleados y robado una pequeña cantidad de credenciales de código interno en una ronda reciente de ataques a la cadena de suministro, pero la compañía enfatizó que los datos de los usuarios, los sistemas de producción y la propiedad intelectual central no se habían visto comprometidos. A principios de esta semana, varios piratas informáticos secuestraron múltiples proyectos de código abierto ampliamente adoptados por docenas de empresas e insertaron en ellos actualizaciones que contenían códigos maliciosos en un intento de difundir programas maliciosos a través de la cadena de suministro de software. Este es el último de una serie de "ataques a la cadena de suministro" recientes dirigidos a desarrolladores de software y sus proyectos.
OpenAI confirmó el miércoles que los dispositivos de dos de sus empleados se vieron afectados por el ataque, pero en una investigación posterior, OpenAI dijo en una publicación de blog que no había evidencia de que se hubiera accedido a los datos de los usuarios de OpenAI, que sus sistemas de producción o su propiedad intelectual estuvieran comprometidos, o que el software de la compañía fuera manipulado.
OpenAI dijo que los dispositivos de los dos empleados se vieron comprometidos como resultado de un ataque previo a TanStack, un conjunto ampliamente utilizado de bibliotecas de código abierto que ayudan a los desarrolladores a crear aplicaciones web.
El lunes, TanStack reveló públicamente el ataque y publicó un informe de análisis post-mortem, diciendo que los piratas informáticos lanzaron 84 versiones maliciosas del software en sólo 6 minutos, y un investigador descubrió una anomalía unos 20 minutos después de que comenzara el ataque.
Según los informes, estas versiones maliciosas están integradas con malware que puede robar credenciales en el entorno de instalación y tener la capacidad de propagarse a más sistemas.
OpenAI dijo que dentro de la base de código interno de la compañía, "descubrió acceso no autorizado y credenciales robadas en una pequeña porción de los repositorios de código fuente internos accesibles a los empleados afectados".
Según la empresa de inteligencia artificial, sólo se robó una "cantidad limitada de material de credenciales" de los repositorios de códigos afectados.
Por precaución, debido a que estos repositorios contienen los certificados digitales utilizados para firmar productos OpenAI, la compañía decidió rotar los certificados, una medida que requerirá que los usuarios de macOS actualicen sus aplicaciones.
OpenAI dijo que no ha encontrado "ninguna evidencia de que las instalaciones de software existentes hayan sido comprometidas o puestas en riesgo".
No está claro quién orquestó el ataque a TanStack.
Varios ataques a la cadena de suministro se han atribuido anteriormente a un grupo de piratas informáticos llamado TeamPCP, que también ha sido objetivo de otros piratas informáticos en el pasado.
Al mismo tiempo, otros grupos han utilizado técnicas similares para invadir diferentes proyectos: por ejemplo, en marzo de este año, piratas informáticos norcoreanos secuestraron la herramienta de desarrollo de código abierto Axios, ampliamente utilizada, y enviaron malware a través del proyecto a potencialmente millones de desarrolladores; En otro ataque en mayo, los piratas informáticos chinos fueron acusados de utilizar un método similar para implantar una puerta trasera en el software de imágenes de discos Daemon Tools, apuntando a miles de computadoras con Windows que ejecutan el software.
La característica común de este tipo de ataque es que el atacante no se dirige directamente a una empresa, sino que primero toma el control del proyecto de código abierto y luego distribuye código malicioso en forma de actualizaciones de versión aparentemente periódicas.
Esta táctica brinda a los atacantes la oportunidad de impactar docenas de objetivos simultáneamente con un solo ataque, distribuyendo el riesgo y el daño ampliamente en Internet.