Az OpenAI megerősítette a TanStack ellátásilánc-támadását, nem szivárogtak felhasználói adatok

Két OpenAI-munkatárs gépét érte támadás a TanStack ellátási láncát érintő Mini Shai-Hulud incidens során, de a vállalat szerint a történtek nem okoztak érdemi fennakadást a működésben. A TeamPCP nevű hackercsoport a TanStack npm-csomag 84 verzióját fertőzte meg, így sikerült kártevőt terjesztenie a fejlesztők körében.

Hitelesítő adatok a célkeresztben

A kártevő fő célja az volt, hogy fejlesztői jelszavakat, felhőszolgáltatásokhoz tartozó titkos kulcsokat, valamint SSH-kulcsokat szerezzen meg. Nemcsak ezek a bizalmas adatok voltak veszélyben: az is komoly gondot jelenthetett volna, hogy a fertőzés gyorsan terjedhet a digitális ökoszisztémában – ahogyan azt a Dűne (Dune) regények gigantikus Shai-Hulud férge ihlette név is sugallja.

Azonnali védekezés

Az OpenAI gyorsan lépett: elkülönítette az érintett eszközöket, visszavonta a hozzáféréseket, frissítette a felhasználói jogosultságokat és az aláírási tanúsítványokat. Az egyik legsúlyosabban érintett terület a belső forráskódtároló volt, ahol csak korlátozott mennyiségű hitelesítő adat került illetéktelen kézbe. Sem ügyféladat, sem szellemi tulajdon nem került veszélybe; a cég nem talált nyomot jogosulatlan hozzáférésre vagy adathasználatra.

Tartalomszolgáltatók és felhasználók

Az incidenssel összefüggésben a macOS-alkalmazások tanúsítványait is cserélni kellett, ezért ezeket a felhasználóknak frissíteniük kell. Windows és iOS rendszeren nincs tennivaló, ezek a platformok nem érintettek. A TanStack könyvtárait világszerte több mint négymilliárdszor töltötték már le, heti letöltésszámuk eléri a 177 milliót – így egy ilyen támadásnak messzemenő hatása lehetett volna, ha az OpenAI nem lép időben.

2026, adrienne, www.techradar.com alapján