【安全圈】黑客利用 Burst Statistics WordPress 插件認(rèn)證繞過(guò)漏洞發(fā)動(dòng)攻擊

關(guān)鍵詞

供應(yīng)鏈攻擊

OpenAI 表示，在近期影響數(shù)百個(gè) npm 和 PyPI 軟件包的 TanStack 供應(yīng)鏈攻擊中，兩名員工的設(shè)備遭到入侵。作為預(yù)防措施，該公司已輪換其應(yīng)用程序的代碼簽名證書(shū)。

在今日發(fā)布的安全公告中，OpenAI 稱(chēng)此次事件未影響客戶(hù)數(shù)據(jù)、生產(chǎn)系統(tǒng)、知識(shí)產(chǎn)權(quán)或已部署的軟件。

該公司表示，此次漏洞與 TeamPCP 勒索團(tuán)伙近期發(fā)起的 “Mini Shai - Hulud” 供應(yīng)鏈攻擊活動(dòng)有關(guān)，該活動(dòng)通過(guò)在受信任的熱門(mén)軟件包中植入惡意更新，將開(kāi)發(fā)者作為攻擊目標(biāo)。

OpenAI 解釋稱(chēng)：“我們觀察到的活動(dòng)與該惡意軟件公開(kāi)描述的行為一致，包括對(duì)兩名受影響員工有權(quán)訪(fǎng)問(wèn)的部分內(nèi)部源代碼存儲(chǔ)庫(kù)進(jìn)行未經(jīng)授權(quán)的訪(fǎng)問(wèn)和以竊取憑證為目的的數(shù)據(jù)滲出活動(dòng)?！?/p>

OpenAI 表示，在此次攻擊中，僅從存儲(chǔ)庫(kù)中竊取了有限的憑證，且沒(méi)有證據(jù)表明這些憑證被用于其他攻擊。

OpenAI 稱(chēng)已隔離受影響的系統(tǒng)和賬戶(hù)、撤銷(xiāo)會(huì)話(huà)、輪換受影響存儲(chǔ)庫(kù)中的憑證，并暫時(shí)限制部署工作流程。該公司還在第三方事件響應(yīng)公司的幫助下進(jìn)行了取證調(diào)查。

用于 OpenAI macOS、Windows、iOS 和 Android 產(chǎn)品的代碼簽名證書(shū)在此次事件中也被泄露。盡管 OpenAI 尚未檢測(cè)到這些證書(shū)被濫用于簽署惡意軟件，但作為預(yù)防措施，公司正在輪換這些證書(shū)。

此次輪換意味著 macOS 用戶(hù)需在 2026 年 6 月 12 日前更新 OpenAI 桌面應(yīng)用程序，因?yàn)橛捎谔O(píng)果的公證流程，使用舊證書(shū)簽名的應(yīng)用程序可能無(wú)法啟動(dòng)或接收更新。

Windows 和 iOS 用戶(hù)不受影響，無(wú)需采取任何行動(dòng)。

TanStack 供應(yīng)鏈攻擊事件

OpenAI 的此次漏洞是 “Mini Shai - Hulud” 大規(guī)模軟件供應(yīng)鏈攻擊活動(dòng)的一部分，本周早些時(shí)候，該活動(dòng)致使數(shù)百個(gè) npm 和 PyPI 軟件包遭到入侵。

此次攻擊最初針對(duì) TanStack 和 Mistral AI 的軟件包，隨后通過(guò)竊取的 CI/CD 憑證和合法工作流程蔓延至其他項(xiàng)目，包括 UiPath、Guardrails AI 和 OpenSearch。

Socket 和 Aikido 的研究人員最終追蹤到通過(guò)合法軟件包存儲(chǔ)庫(kù)分發(fā)的數(shù)百個(gè)受感染軟件包。

根據(jù) TanStack 的事后分析，攻擊者利用該項(xiàng)目 GitHub Actions 工作流程和 CI/CD 配置中的弱點(diǎn)執(zhí)行惡意代碼、從內(nèi)存中提取令牌，并通過(guò) TanStack 的正常發(fā)布管道發(fā)布惡意軟件包。

這使得攻擊者能夠通過(guò)合法發(fā)布直接發(fā)布惡意軟件包版本，這些軟件包看起來(lái)是合法的。

在此次活動(dòng)中傳播的 “Mini Shai - Hulud” 惡意軟件旨在竊取開(kāi)發(fā)者和云憑證，包括 GitHub 令牌、npm 發(fā)布令牌、AWS 憑證、Kubernetes 機(jī)密信息、SSH 密鑰和.env 文件。

安全研究人員表示，該惡意軟件還通過(guò)修改 Claude Code 鉤子和 VS Code 自動(dòng)運(yùn)行任務(wù)，在開(kāi)發(fā)者系統(tǒng)上實(shí)現(xiàn)持久化，即便軟件包被移除，它仍能留存。

該惡意軟件利用竊取的 GitHub 和 npm 憑證入侵維護(hù)者賬戶(hù)，將惡意有效載荷注入軟件包壓縮文件，并將新的植入木馬的軟件包版本發(fā)布到存儲(chǔ)庫(kù)，從而傳播到其他項(xiàng)目。

微軟威脅情報(bào)部門(mén)還報(bào)告稱(chēng)，該惡意軟件啟動(dòng)了一個(gè)針對(duì)運(yùn)行俄語(yǔ)軟件系統(tǒng)的 Linux 信息竊取工具。該惡意軟件還包含一個(gè)破壞性的破壞組件，會(huì)在一些以色列或伊朗系統(tǒng)上隨機(jī)執(zhí)行遞歸擦除命令。

OpenAI 表示，此次事件反映了攻擊者越來(lái)越傾向于針對(duì)軟件供應(yīng)鏈而非直接攻擊個(gè)別公司，以造成更廣泛的影響。

該公司總結(jié)道：“現(xiàn)代軟件構(gòu)建于一個(gè)開(kāi)源庫(kù)、軟件包管理器以及持續(xù)集成和持續(xù)部署基礎(chǔ)設(shè)施緊密相連的生態(tài)系統(tǒng)之上，這意味著上游引入的漏洞能夠在各個(gè)組織中迅速?gòu)V泛傳播。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專(zhuān)注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！