OpenAI cible les packages open source TanStack dans une attaque contre la chaîne d'approvisionnement Il a confirmé que deux appareils de ses employés avaient été endommagés. L'entreprise fait l'objet d'une enquête accès aux données des utilisateursn'ont trouvé aucune preuve de fuite dans leurs systèmes de production ou de modifications apportées à leurs logiciels. Cependant, les attaquants ont obtenu des informations d’identification limitées dans certains référentiels de code source internes. Par conséquent, OpenAI lance le processus de renouvellement des certificats côté application macOS.
TanStack a divulgué l'attaque le 11 mai 2026 et a partagé la chronologie dans son rapport post-incident. Les assaillants ont attaqué entre 22h20 et 22h26, heure turque. 84 versions npm malveillantes couvrant 42 packages je l'ai diffusé à l'antenne. De plus, l'équipe du projet a déclaré qu'un chercheur avait détecté l'attaque en 20 minutes environ. Le court laps de temps n’a pas empêché les paquets malveillants d’atteindre les machines des développeurs.
Les versions malveillantes de TanStack contenaient un code malveillant visant à collecter les informations d'identification des ordinateurs sur lesquels il était installé. De plus, la campagne visait une portée plus large dans les environnements de développement avec la possibilité de se propager d'un système à l'autre. Selon l'analyse de Snyk, les attaquants ne se sont pas uniquement appuyés sur des mots de passe de diffusion volés, mais ont également distribué des paquets en utilisant le flux de diffusion légitime de TanStack. Ainsi, des packages se faisant passer pour des mises à jour étaient diffusés via un projet open source fiable.
OpenAI a déclaré avoir constaté un accès non autorisé à un nombre limité de référentiels de codes sources internes accessibles à deux employés. La société a déclaré que seul un nombre limité de documents d'identification avait été reçu de ces entrepôts. Malgré cela, l'entreprise renouvelle les certificats par précaution, puisque les référentiels contiennent également des certificats numériques utilisés pour signer les produits OpenAI. Ceux qui utilisent l'application macOS devront installer la prochaine mise à jour en raison de ce renouvellement.
Les packages open source remettent en question la chaîne de sécurité des entreprises
OpenAI a spécifiquement souligné qu'il n'avait trouvé aucune preuve de compromission ou de compromission dans les installations logicielles existantes. De plus, la société n’a partagé aucune découverte indiquant un accès des attaquants aux systèmes de production, à la propriété intellectuelle et aux données des utilisateurs. Cependant, la portée de l'attaque sur les appareils des employés et les outils de développement a remis au premier plan la chaîne de packages utilisée par les équipes logicielles modernes. Un package npm peut entrer silencieusement dans l'environnement de développement de nombreuses entreprises via le système d'automatisation.
L'incident TanStack s'inscrit dans la continuité des attaques ciblant les développeurs ces derniers mois. En mars, des pirates informatiques liés à la Corée du Nord ont détourné l'outil de développement open source Axios, largement utilisé, et publié des packages malveillants. Google Threat Intelligence Group et Mandiant ont lié cette attaque à un acteur lié à la Corée du Nord identifié comme UNC1069. Axios étant largement utilisé, l’attaque a ciblé un canal de distribution qui pourrait affecter des millions de développeurs.
En mai, il a été annoncé que des pirates informatiques liés à la Chine avaient mené une attaque similaire contre la chaîne d'approvisionnement via DAEMON Tools. Kaspersky a détecté une porte dérobée dans les fichiers d'installation téléchargés depuis le site officiel de DAEMON Tools. La société a déclaré que cette attaque pourrait atteindre les ordinateurs Windows dans plus de 100 pays. Ainsi, les attaques de la chaîne d’approvisionnement se sont manifestées dans différents canaux de distribution, des packages npm aux installations de logiciels de bureau.
On ne sait pas qui est derrière l’attaque TanStack. Certaines attaques contre la chaîne d'approvisionnement ont été attribuées au groupe de hackers TeamPCP, mais d'autres groupes ont également utilisé des méthodes similaires. Dans ces attaques, au lieu de s'attaquer à des entreprises individuelles, les pirates informatiques s'emparent de projets open source et distribuent des mises à jour malveillantes sous forme de versions régulières de packages. Ainsi, ils ont la possibilité d’accéder à un grand nombre d’environnements de développement d’un seul geste.
La décision de renouvellement du certificat d'OpenAI aura des conséquences directes, notamment pour ceux qui utilisent les applications macOS. Bien que l'entreprise affirme n'avoir trouvé aucune preuve de risque dans les installations existantes, la version qui sera distribuée avec de nouveaux certificats de signature rafraîchira la chaîne de confiance des applications. Dans ce processus, le verrouillage des packages, la vérification des versions, la limitation des accès et la gestion des informations d'identification deviennent plus critiques pour les équipes de développeurs. L’attaque TanStack montre que même les mises à jour open source apparemment fiables doivent subir des contrôles de sécurité distincts.
Pour ne pas rater l'agenda technologique, 📰 ajoutez-le à Google News, 💬 rejoignez notre chaîne WhatsApp, ▶ abonnez-vous à YouTube, 📷 suivez-nous sur Instagram et 𝕏 X.
💻🔥 OFFRES ORDINATEURS PORTABLES À NE PAS MANQUER 🔥💻
Teknoblog a des partenariats d'affiliation. Ceux-ci n'influencent pas le contenu éditorial, mais Teknoblog peut percevoir une commission sur les produits achetés via des liens d'affiliation.
