Инцидент безопасности в цепочке поставок TanStack встревожил технологическое сообщество. Атака смогла скомпрометировать два устройства сотрудников OpenAI, вынудив компанию развернуть срочные обновления в системах macOS. Этот случай показывает, как злоумышленники могут проникать через сторонние зависимости, не атакуя напрямую целевую компанию.
Как эксплуатируется сторонняя зависимость 🛡️
Цепочка поставок программного обеспечения является повторяющимся вектором атак. В этом случае злоумышленники внедрили вредоносный код в компоненты TanStack, популярной библиотеки в экосистеме JavaScript. При обновлении зависимостей разработчики OpenAI неосознанно загрузили полезную нагрузку. Попав внутрь, злоумышленники получили доступ к локальным данным на двух Mac. OpenAI отреагировала, исправив свои системы и пересмотрев разрешения на выполнение в macOS, ограничив несанкционированные процессы. Урок ясен: аудит каждой зависимости — это не опция, это обязательно.
Забавная сторона слепого обновления всего 😅
Если этот инцидент нас чему-то и учит, так это тому, что слепо доверять npm install — это как пригласить незнакомца проверить ваш код. OpenAI пришлось тушить пожары на двух Mac, потому что кто-то где-то решил, что обновить библиотеку, не читая changelog, — хорошая идея. Теперь каждый раз, когда вы видите пакет с 10 миллионами еженедельных загрузок, помните: у него также может быть 10 миллионов способов испортить вам день.