ענקית הבינה המלאכותית OpenAI הודיעה הלילה (בין שישי לשבת) כי זיהתה בעיית אבטחה הקשורה לכלי פיתוח של צד שלישי בשם Axios וכי היא נוקטת צעדים להגנה על התהליך המאשר כי יישומי macOS שלה הם אפליקציות OpenAI לגיטימיות. כך לפי דיווח של סוכנות הידיעות "רויטרס".
יצרנית ChatGPT מסרה כי לא מצאה ראיות לכך שזו ניגשה לנתוני המשתמשים שלה, שמערכותיה או הקניין הרוחני שלה נפגעו, או שתוכנתה שונתה.
תזכורת: רק לפני כמה ימים נחשפה אחת מתקיפות "שרשרת האספקה" (Supply Chain Attack) המתוחכמות והנרחבות ביותר שנראו לאחרונה. היעד היה אותה ספריית הקוד הפופולרית ביותר בעולם להוצאת בקשות HTTP, שרשומה על כ-100 מיליון הורדות שבועיות ומהווה חלק בלתי נפרד ממיליוני אתרים ואפליקציות.
חשבון ה-npm (מאגר חבילות הקוד) של אחד המנהלים הראשיים בפרויקט Axios נפרץ. התוקפים ניצלו את הגישה כדי לפרסם שתי גרסאות נגועות של הספרייה, הכוללות בתוכן קוד זדוני. הקוד הזה לא נמצא בתוך Axios עצמה, אלא הוזרק כ"תלות" (Dependency) חבויה בשם plain-crypto-js.
ברגע שמשתמש מריץ פקודת התקנה סטנדרטית (npm install), הקוד הזדוני מופעל אוטומטית ומתקין על המחשב סוס טרויאני מסוג RAT (Remote Access Trojan) - כלי המאפשר לתוקפים שליטה מרחוק מלאה על המכשיר.
טעינו? נתקן! אם מצאתם טעות בכתבה, נשמח שתשתפו אותנו