Вредоносный коммит подписали «от имени Claude»: жертвой стала OpenAI

OpenAI признала, что два устройства ее сотрудников были скомпрометированы в ходе масштабной атаки на цепочку поставок ПО. Злоумышленники проникли через отравленную версию TanStack — популярной библиотеки с открытым кодом для веб-разработки. Организация заявила, что информация пользователей, production-системы и исходный исходник не пострадали, но в качестве меры предосторожности теперь обязывает всех пользователей macOS апдейтнуть ChatGPT, Codex и браузер Atlas до 12 июня.

Сама атака произошла 11 мая. Нападавшие выстроили цепочку из трех уязвимостей в GitHub Actions — системе, которая автоматически собирает и публикует исходник проекта при каждом изменении. Сначала они создали форк репозитория TanStack, замаскировав его под безобидную папку с настройками, затем отравили кеш сборки, а в финале вытащили из памяти процесса токен доступа, которым подписываются релизы. В итоге 84 вредоносные версии сорока двух пакетов были опубликованы не злоумышленником со стороны, а легитимным релизным конвейером самого TanStack — следовательно для всех, кто их устанавливал, пакеты выглядели полностью доверенными.

Отдельная деталь, в связи с которой история и получила резонанс: вредоносный коммит в форк был подписан сфабрикованной личностью claude <claude@users.noreply.github.com> — то есть имитировал GitHub-приложение Anthropic Claude, которым разработчики реально пользуются для автоматических правок кода. Коммит дополнительно пометили тегом [skip ci], чтобы подавить автоматические проверки при отправке. Anthropic к атаке отношения не имеет — ее бренд использовали как маскировку, чтобы вредоносное модификация выглядело рутинной автоматической правкой и не вызывало подозрений.

У самой OpenAI пострадали два рабочих устройства внутри корпоративной сети. С ограниченного числа внутренних репозиториев, к которым у этих сотрудников был доступ, утекли некоторые учетные данные. Поскольку в скомпрометированных репозиториях оказались сертификаты для подписи кода, OpenAI отзывает их и выпускает новые. Именно поэтому обновиться придется всем пользователям macOS: после 12 июня встроенная безопасность системы перестанет запускать приложения, подписанные старым сертификатом. Это уже вторая ротация сертификатов за два месяца — предыдущая была в марте после похожего инцидента с библиотекой Axios. Пользователям Windows и iOS делать ничего не нужно.

Атаку приписывают группировке TeamPCP — той же, что стоит за недавними компрометациями Bitwarden CLI, сканера Trivy и пакетов SAP. Кампания, получившая название Mini Shai-Hulud, вышла далеко за пределы OpenAI: пострадало больше 160 пакетов, включая официальные клиенты Mistral AI, инструменты UiPath и Guardrails AI. Технически примечательно, что нападавшие не изобретали ничего нового — они просто собрали в одну цепочку три давно описанные в исследованиях уязвимости.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.