OpenAI is slachtoffer van supplychainaanval, 'geen gebruikersdata gestolen'

In dit artikel:

OpenAI meldt dat de apparaten van twee medewerkers zijn gecompromitteerd tijdens een supplychain-aanval die verband houdt met de besmetting van TanStack-npm-pakketten. Als voorzorgsmaatregel vernieuwt het bedrijf de ondertekeningscertificaten voor zijn apps en vraagt macOS-gebruikers een update te installeren vóór 12 juni. De maatregelen hebben betrekking op ChatGPT Desktop, Codex, Codex CLI en Atlas.

Volgens OpenAI zijn uit een beperkt aantal interne broncode-repositories inloggegevens buitgemaakt, waaronder certificaten die gebruikt worden om iOS-, macOS- en Windows-apps te ondertekenen. Er zijn momenteel geen aanwijzingen dat gebruikersgegevens zijn gestolen. De hack wordt toegeschreven aan de groep TeamPCP en aan de eerder bekendgemaakte Mini Shai-Hulud-campagne, waarbij 42 TanStack-npm-pakketten met malware werden geïnfecteerd die inloggegevens kan stelen en zich kan verspreiden.

Mac-gebruikers moeten updaten omdat macOS na 12 juni downloads en opstartpogingen van met de oude sleutel getekende apps blokkeert. iOS- en Windows-gebruikers hoeven geen actie te ondernemen. Dit is een preventieve stap om te voorkomen dat kwaadwillenden nep-apps verspreiden die ogenschijnlijk van OpenAI afkomstig zijn.