Yapay zeka devi OpenAI, popüler React/TypeScript geliştirici kütüphanesi TanStack'i hedef alan Mini Shai-Hulud tedarik zinciri saldırısının kendi kurumsal ortamındaki iki çalışan cihazına ulaştığını açıkladı. Şirket, müşteri verisi, üretim sistemleri ve hassas kaynak kodlara erişim sağlanmadığını vurguladı.
OpenAI, kötü amaçlı aktiviteyi tespit ettikten sonra etkilenen sistem ve kimlikleri izole etti, kullanıcı oturumlarını iptal etti, etkilenen depolardaki tüm kimlik bilgilerini döndürdü, kod dağıtım izinlerini geçici olarak kısıtladı ve etkili ekiplere zorunlu yeniden kimlik doğrulama uyguladı. Şirket açıklamasında "Kötü amaçlı yazılımın açıklanan davranışıyla tutarlı aktivite gözlemledik" ifadesine yer verildi.
Etkilenen depolar iOS, macOS ve Windows ürünleri için imzalama sertifikaları içerdiğinden, OpenAI sertifikaları iptal ederek yeni sürümler yayımladı. Bu durum, son macOS güncelleme periyodunda OpenAI uygulamasını kullanan kullanıcılar için zorunlu macOS güncellemesi tetikledi; iOS ve Windows tarafında kullanıcı aksiyonu gerekmedi. Mini Shai-Hulud kampanyası, daha geniş Shai-Hulud npm tedarik zinciri saldırı dalgasının daha hedefli bir varyantı olarak izleniyor.
Tedarik zinciri perspektifi: Yazılım tedarik zinciri saldırıları, fiziksel mal tedarik zincirindeki upstream tedarikçi risklerine benzer. TanStack gibi geliştirici kütüphaneleri, milyonlarca uygulamada dolaylı bağımlılık olarak yer alıyor; tek bir komponentin kompromize olması yüksek değerli kurumsal hedefe ulaşmak için yeterli olabiliyor. SLSA (Supply chain Levels for Software Artifacts), Sigstore imzalı paket dağıtımı ve SBOM (Software Bill of Materials) standartlarının kurumsal alıcı tarafında zorunlu hale gelmesi giderek hızlanıyor.
Önemli Notlar:
1. OpenAI, TanStack üzerinden gerçekleştirilen Mini Shai-Hulud tedarik zinciri saldırısının iki çalışan cihazına ulaştığını açıkladı.
2. Müşteri verisi, üretim sistemleri ve hassas kaynak kodlara erişim sağlanmadı; ancak sınırlı kimlik bilgisi sızıntısı oluştu.
3. OpenAI iOS, macOS ve Windows imzalama sertifikalarını iptal etti; macOS kullanıcıları için zorunlu güncelleme tetiklendi.
4. Mini Shai-Hulud kampanyası, daha geniş Shai-Hulud npm tedarik zinciri saldırı dalgasının hedefli varyantı olarak izleniyor.
5. Kurumsal alıcı tarafında SLSA, Sigstore imzalı paket dağıtımı ve SBOM standartlarına geçiş hızlanıyor.
