Plus tôt cette semaine, des pirates ont détourné plusieurs projets open source utilisés par des dizaines d’entreprises et ont diffusé des mises à jour conçues pour propager des logiciels malveillants. Il s’agit de la dernière d’une série d’attaques récentes dites de « chaîne d’approvisionnement » ciblant les développeurs de logiciels et leurs projets.
Mercredi, OpenAI a confirmé que les appareils de deux employés avaient été « touchés par cette attaque ». Mais après enquête, la société a déclaré dans un article de blog qu’elle n’avait trouvé « aucune preuve que les données des utilisateurs d’OpenAI avaient été consultées, que nos systèmes de production ou notre propriété intellectuelle avaient été compromis, ou que nos logiciels avaient été modifiés ».
OpenAI a déclaré que les appareils des employés avaient été compromis par une attaque antérieure contre TanStack, une bibliothèque open source populaire qui aide les développeurs à créer des applications Web.
Lundi, TanStack a révélé l’attaque et publié une autopsie, affirmant que les pirates informatiques avaient publié 84 versions malveillantes de son logiciel au cours d’une fenêtre de six minutes. Le projet indique qu’un chercheur a détecté l’attaque dans les 20 minutes. Les versions malveillantes de TanStack incluaient des logiciels malveillants conçus pour voler les informations d’identification des ordinateurs sur lesquels le logiciel était installé et se propager automatiquement pour se propager à d’autres systèmes.
Contactez-nous
Avez-vous plus d’informations sur cette attaque de la chaîne d’approvisionnement ? Ou d’autres chaînes d’approvisionnement compromises ? Depuis un appareil non professionnel, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
De son côté, OpenAI a déclaré avoir constaté des accès non autorisés et des vols d’informations d’identification « dans un sous-ensemble limité de référentiels de codes sources internes auxquels les deux employés concernés avaient accès ».
Selon le géant de l’IA, « seul un matériel d’identification limité » a été extrait des référentiels de codes concernés. Par mesure de précaution, étant donné que les référentiels concernés contenaient des certificats numériques utilisés pour signer les produits OpenAI, la société a déclaré qu’elle alternait les certificats « par mesure de précaution », ce qui obligera les utilisateurs de macOS à mettre à jour l’application.
« Nous n’avons trouvé aucune preuve de compromission ou de risque pour les installations logicielles existantes », a écrit la société.
On ne sait pas clairement qui est derrière l’attaque TanStack. Certains des piratages passés de la chaîne d’approvisionnement ont été attribués à un gang de pirates informatiques connu sous le nom de TeamPCP, un groupe qui était lui-même une cible de pirates informatiques.
Mais d’autres groupes ont employé les mêmes tactiques contre d’autres projets. En mars, des pirates nord-coréens ont détourné Axios, un outil de développement open source populaire, et introduit des logiciels malveillants qui auraient pu infecter des millions de développeurs. Et en mai, des pirates chinois ont été accusés d’une attaque similaire ciblant des milliers d’ordinateurs Windows exécutant le logiciel d’imagerie disque Daemon Tools.
Dans ces attaques, au lieu de cibler des entreprises spécifiques, les pirates informatiques s’emparent de projets open source et diffusent des logiciels malveillants déguisés en mises à jour régulières inoffensives. Cela leur permet de potentiellement compromettre des dizaines de cibles avec un seul piratage, répartissant ainsi les dégâts sur Internet.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
