أعلنت شركة OpenAI أنها قامت بتحديث شهادات الأمان الخاصة بها وتطالب جميع مستخدمي نظام macOS بتحديث أجهزتهم إلى أحدث الإصدارات. يأتي هذا الإجراء بعد اكتشاف تأثير هجوم واسع النطاق على سلسلة التوريد، والذي استهدف مكتبة مفتوحة المصدر شائعة في أواخر شهر مارس.
وأوضحت الشركة، في منشور لها على مدونتها، أنه لم يتم العثور على أي دليل على وصول بيانات مستخدمي OpenAI، أو اختراق أنظمتها أو ملكيتها الفكرية، أو تعديل برمجياتها.
تحديثات أمنية بعد التأثر بهجوم سلسلة التوريد
تعتبر OpenAI هذا الإجراء احترازياً، حيث أن إحدى عمليات GitHub التي تستخدمها الشركة لتوقيع الشهادات الخاصة بتطبيقات macOS، قد قامت بتنزيل وتنفيذ نسخة خبيثة من مكتبة Axios. ورغم أن الشهادة المعنية ستصبح غير صالحة قريباً، فإن الشركة تتعامل معها على أنها مخترقة.
وكانت جهة قرصنة مزعومة من كوريا الشمالية قد حقنت برمجيات خبيثة في نسختين من Axios. جاء ذلك بعد اختراق جهاز المسؤول الرئيسي عن المكتبة عبر الهندسة الاجتماعية، والاستيلاء على حساباته على منصتي npm و GitHub. وقد صرح Jason Saayman، المسؤول الرئيسي عن Axios، أن النسخ الخبيثة كانت متاحة لما يقرب من ثلاث ساعات قبل إزالتها.
من جهة أخرى، أشارت مجموعة Google Threat Intelligence، التي تتعقب هذه الجهة تحت مسمى UNC1069، بأن تأثير الهجوم كان واسع النطاق. وقد يمتد هذا التأثير ليشمل حزم برمجية أخرى شائعة. تُستخدم مكتبات JavaScript هذه في أكثر من 100 مليون و 83 مليون عملية تنزيل أسبوعياً، مما يؤدي إلى وصولها للعديد من البرمجيات التابعة.
جاء اكتشاف هذا الهجوم بعد أسابيع قليلة من تعرض أدوات أخرى مفتوحة المصدر، بما في ذلك Trivy، للاختراق من قبل مجموعة UNC6780، المعروفة أيضاً باسم TeamPCP، مما أدى إلى محاولات ابتزاز واسعة النطاق.
بيانات المستخدمين آمنة رغم الاختراق
تؤكد OpenAI أن البرمجيات الخبيثة التي أصابت Axios لم تؤثر بشكل مباشر على شهادة التوقيع الخاصة بها، والتي تهدف لمساعدة المستخدمين على التحقق من أنهم يقومون بتنزيل برمجيات أصلية.
وأضافت الشركة في مدونتها: “من المرجح أن الشهادة المستخدمة في سير العمل هذا لم يتم استخلاصها بنجاح بواسطة الحمولة الخبيثة، وذلك بسبب توقيت تنفيذ الحمولة، وحقن الشهادة في المهمة، وتسلسل المهمة نفسها، وعوامل أخرى مخففة.” ومع ذلك، “من باب الحيطة والحذر الشديد، نتعامل مع الشهادة على أنها مخترقة، وسنقوم بإلغائها وتدويرها.”
وبحسب الشركة، فإن الإصدارات الأقدم من تطبيقات OpenAI على نظام macOS قد تفقد وظائفها ولن تعود مدعومة بعد الإلغاء الكامل للشهادة في 8 مايو. ولتقليل أي إزعاج للمستخدمين، تمنح OpenAI نافذة سماح مدتها 30 يوماً، لكنها أشارت إلى أنها ستسرع من موعد الإلغاء إذا اكتشفت أي نشاط خبيث.
وقد استعانت OpenAI بشركة خارجية متخصصة في الطب الشرعي الرقمي والاستجابة للحوادث للمساعدة في التحقيقات والاستجابة. وقد حددت الشركة السبب الجذري للمشكلة الأمنية في سوء تكوين في سير عمل GitHub الخاص بها. وأكدت الشركة أنها قامت بتصحيح هذا الخطأ وعملت مع Apple لضمان عدم تمكن التطبيقات الاحتيالية التي تتظاهر بأنها من OpenAI من استخدام الشهادة المتأثرة.