Un incident de sécurité dans la chaîne d'approvisionnement de TanStack a mis en alerte la communauté technologique. L'attaque a réussi à compromettre deux appareils d'employés d'OpenAI, forçant l'entreprise à déployer des mises à jour urgentes sur les systèmes macOS. Ce cas expose comment des acteurs malveillants peuvent s'infiltrer via des dépendances tierces, sans avoir besoin d'attaquer directement l'entreprise cible.
Comment une dépendance tierce est exploitée 🛡️
La chaîne d'approvisionnement logicielle est un vecteur d'attaque récurrent. Dans ce cas, les attaquants ont injecté du code malveillant dans des composants de TanStack, une bibliothèque populaire dans l'écosystème JavaScript. En mettant à jour les dépendances, les développeurs d'OpenAI ont téléchargé sans le savoir la charge utile. Une fois à l'intérieur, les attaquants ont accédé aux données locales sur deux Macs. OpenAI a répondu en corrigeant ses systèmes et en révisant les autorisations d'exécution sur macOS, limitant les processus non autorisés. La leçon est claire : auditer chaque dépendance n'est pas optionnel, c'est obligatoire.
Le côté amusant de tout mettre à jour à l'aveugle 😅
Si quelque chose nous apprend cet incident, c'est que faire aveuglément confiance à npm install, c'est comme inviter un inconnu à examiner votre code. OpenAI a dû éteindre des incendies sur deux Macs parce que quelqu'un, quelque part, a décidé que mettre à jour une bibliothèque sans lire le changelog était une bonne idée. Maintenant, chaque fois que vous voyez un paquet avec 10 millions de téléchargements hebdomadaires, rappelez-vous : il peut aussi avoir 10 millions de façons de vous gâcher la journée.