نفوذ به OpenAI از طریق «کرم ماسهزار»؛ هشدار فوری آپدیت برای کاربران مک!
دنیای امنیت سایبری با یک خبر تکاندهنده روبرو شد: شرکتOpenAI رسماً تایید کرد که بدافزار نفوذ کرده به کتابخانههای محبوب TanStack، موفق شده به دستگاههای دو تن از کارکنان این شرکت نفوذ کند. این حمله که بخشی از کمپین بزرگMini Shai-Hulud است، منجر به سرقت بخشی از کدهای منبع و گواهینامههای امنیتی شده است. OpenAI حالا در یک اقدام اضطراری، تمامی گواهینامههای خود را باطل کرده و از کاربران مک خواسته است فوراً نرمافزارهای خود را بهروزرسانی کنند.
۱. کالبدشکافی حمله: نفوذ از طریق «خط لوله» اعتماد
این حمله یکSupply Chain Attack (حمله زنجیره تأمین) بسیار پیچیده است. طبق اعلام تیم TanStack، هیچ هکری از طریق فیشینگ یا سرقت پسورد وارد نشده؛ بلکه آنها موفق شدند راهی پیدا کنند که سیستم انتشار خودکار (CI Pipeline) خودِ شرکت، توکن دسترسیاش را در لحظه تولید، به هکرها لو بدهد!
- نفوذ به OpenAI: بدافزار از این طریق وارد سیستم دو کارمند OpenAI شده و به مخازن کد (Repositories) که آنها دسترسی داشتند، نفوذ کرده است.
- سرقت اطلاعات: هکرها موفق به استخراج اعتبارنامهها (Credentials) از داخل کدها شدهاند، اما OpenAI مدعی است که دادههای کاربران یا سیستمهای تولیدی (Production) آسیبی ندیدهاند.
۲. وضعیت قرمز برای کاربران macOS؛ ۱۲ ژوئن مهلت نهایی
به دلیل اینکه هکرها به گواهینامههای دیجیتال (Signing Certificates) برای نسخههای ویندوز، مک و iOS دسترسی پیدا کردهاند، OpenAI مجبور به ابطال آنها شده است.
- اقدام لازم: کاربران نسخههای مک اپلیکیشنهای ChatGPT Desktop، Codex App، Codex CLI و Atlas باید فوراً به آخرین نسخه آپدیت کنند.
- اولتیماتوم: گواهینامههای قدیمی در تاریخ ۱۲ ژوئن ۲۰۲۶ باطل میشوند. پس از این تاریخ، سیستم امنیتی macOS اجازه اجرای برنامههای قدیمی را نخواهد داد و آنها مسدود میشوند.
۳. بدافزار Shai-Hulud؛ پیچیدهتر و ویرانگرتر از همیشه
تحلیلهای امنیتی نشان میدهد بدافزار بهکار رفته منتسب به گروه TeamPCP بسیار فراتر از یک سارق ساده است:
- سیستمFIRESCALE: این بدافزار دارای یک مکانیسم بازگشتی است؛ اگر سرور اصلی هکر بسته شود، بدافزار تمام کامیتهای گیتهاب در سراسر جهان را جستجو میکند تا آدرس سرور جدید را که با یک کلید RSA ۴۰۹۶ بیتی تایید شده، پیدا کند!
- رفتار تخریبی (وایپر): در یک اقدام عجیب و مغرضانه، این بدافزار روی سیستمهایی که موقعیت جغرافیایی آنها ایران یا اسرائیل باشد، با احتمال ۱ به ۶، ابتدا صدا را به حداکثر رسانده، یک فایل صوتی پخش میکند و سپس تمام فایلهای در دسترس را پاک میکند.
۴. قربانیان دیگر: از Mistral AI تا UiPath
OpenAI تنها قربانی نیست. شرکت فرانسوی Mistral AI نیز تایید کرده که به دلیل آلودگی پکیجهای TanStack، نسخههای آلوده به بدافزار در مخازن npm و PyPI این شرکت منتشر شده است. هکرها تهدید کردهاند که ۵ گیگابایت از کدهای منبع Mistral AI را در تالارهای گفتگوی هکری به قیمت ۲۵ هزار دلار خواهند فروخت.
تحلیل امنیتی ۲۴ نیوز: عصر حملات بالادستی
این دومین بار در دو ماه اخیر است که OpenAI مجبور به تغییر گواهینامههای خود میشود. این نشاندهنده یک تغییر پارادایم در حملات سایبری است؛ هکرها دیگر به خودِ شرکت حمله نمیکنند، بلکه «کتابخانههای متنباز» و ابزارهایی را آلوده میکنند که مهندسان آن شرکتها از آنها استفاده میکنند.
اقدامات پیشنهادی برای مخاطبان ۲۴ نیوز:
- آپدیت مک: اگر از اپلیکیشن دسکتاپ ChatGPT روی مک استفاده میکنید، همین لحظه آن را بهروزرسانی کنید.
- تغییر پسوردها: با توجه به سرقت متغیرهای محیطی (Environment Variables) توسط این بدافزار، تمامی کلیدهای دسترسی API و پسوردهای توسعهدهندگی خود را تغییر دهید.
- بازرسی فایلهای .env: این بدافزار تمام دایرکتوریها را برای یافتن فایلهای حساس تنظیمات جستجو میکند؛ از ذخیره پسورد در این فایلها خودداری کنید.
برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)
