اوایل این هفته، هکرها چند پروژه متنباز را که توسط دهها شرکت مورد استفاده قرار میگیرند، هدف قرار دادند و بهروزرسانیهایی آلوده منتشر کردند که برای پخش بدافزار طراحی شده بودند. این حمله تازهترین نمونه از مجموعه حملات زنجیره تأمین نرمافزار است که در ماههای اخیر توسعهدهندگان و پروژههای نرمافزاری را هدف گرفتهاند.
شرکت OpenAI روز چهارشنبه تأیید کرد که دستگاههای دو نفر از کارکنانش تحت تأثیر این حمله قرار گرفتهاند. با این حال، این شرکت پس از انجام بررسیها اعلام کرد هیچ مدرکی مبنی بر دسترسی به اطلاعات کاربران، نفوذ به سیستمهای اصلی یا سرقت مالکیت فکری خود پیدا نکرده است و نرمافزارهایش نیز تغییری نکردهاند.
به گفته OpenAI، دستگاههای کارکنان از طریق حملهای قبلی به TanStack آلوده شده بودند. TanStack یک کتابخانه متنباز محبوب است که به توسعهدهندگان در ساخت برنامههای وب کمک میکند.
TanStack روز دوشنبه این حمله را فاش کرد و در گزارشی توضیح داد که هکرها طی تنها شش دقیقه، ۸۴ نسخه مخرب از نرمافزار این پروژه را منتشر کردهاند. به گفته این پروژه، یکی از پژوهشگران امنیتی ظرف ۲۰ دقیقه متوجه حمله شد. نسخههای آلوده شامل بدافزاری بودند که برای سرقت اطلاعات ورود کاربران از رایانههای آلوده و همچنین گسترش خودکار به دیگر سیستمها طراحی شده بود.
