前情回顾·OpenAI网络威胁态势
安全内参5月18日消息,OpenAI披露,其企业环境中的两台员工设备受到了针对TanStack的Mini Shai-Hulud供应链攻击影响。不过,该公司强调,没有任何用户数据、生产系统或知识产权遭到未经授权的访问、破坏或篡改。
OpenAI表示:“在发现恶意活动后,我们迅速展开调查并实施遏制措施,同时采取行动保护系统安全。我们观察到的行为与该恶意软件公开描述的活动一致,包括未经授权的访问,以及针对凭证的数据窃取行为。这些活动仅涉及少量内部源代码仓库,而这两名受影响员工此前拥有这些仓库的访问权限。”
OpenAI又遭供应链攻击发生敏感数据泄露
这家AI明星公司表示,仅有有限的凭证材料从相关代码仓库中被成功传输出去,并补充称,没有其他信息或代码受到影响。
OpenAI表示,在收到有关此次活动的警报后,公司立即隔离受影响的系统与身份,撤销用户会话,轮换受影响仓库中的所有凭证,临时限制代码部署工作流,并审计用户及凭证相关行为。
由于受影响的仓库中包含iOS、macOS和Windows产品的签名证书,该公司已采取措施撤销这些证书并重新签发新证书。因此,ChatGPT Desktop、Codex App、Codex CLI和Atlas的macOS用户必须将应用更新至最新版本。
OpenAI表示:“此举有助于防止有人分发伪装成OpenAI官方应用的假冒程序,尽管这种风险极低。Windows和iOS应用用户无需采取任何操作。”
这些证书计划于2026年6月12日被撤销。届时,所有使用旧证书签名的应用,其新下载和启动行为都将被macOS内置保护机制阻止。因此,OpenAI建议用户在截止日期前完成更新,以获得最佳保护。
这是OpenAI在短短两个月内第二次轮换macOS代码签名证书。2026年4月中旬左右,该公司曾轮换证书,原因是一个用于为macOS应用签名的GitHub Actions工作流,在2026年3月31日下载了恶意Axios库,而该库此前已被名为UNC1069的朝鲜黑客组织攻陷。
OpenAI表示:“这一事件反映出威胁态势正在发生更广泛的变化。攻击者越来越多地将目标对准共享软件依赖项和开发工具链,而不再仅仅针对单一公司。”
“现代软件建立在高度互联的生态系统之上,其中包括开源库、包管理器,以及持续集成和持续部署基础设施。这意味着,一旦上游环节引入漏洞,问题就可能在不同组织之间迅速且大范围传播。”
大规模供应链攻击日益频繁,出现专业攻击组织
与此同时,TeamPCP声称又新增了一批受害者。该组织在一场持续进行的供应链攻击活动中,攻陷了与TanStack、UiPath、Mistral AI、OpenSearch和Guardrails AI相关的数百个软件包,目的是向下游开发者投递恶意软件,并窃取系统中的凭证,以进一步扩大入侵规模。
知名Web开源软件TanStack表示:“需要明确的是,没有任何维护者遭遇钓鱼攻击、密码泄露,或者账号令牌被盗。攻击者设法构造出一条路径,使我们的持续集成CI流水线在发布令牌创建的瞬间,通过一个被整个链路默认信任的缓存,将该令牌窃取给攻击者。这是一种我们此前从未预料到的复杂手法,我们对此高度重视。”
随后,TeamPCP宣布与网络犯罪论坛Breached合作举办供应链攻击竞赛,向参与者提供价值1000美元的门罗币奖励,条件是使用其已免费公开的Shai-Hulud蠕虫攻陷开源软件包。该黑客组织还威胁称,将泄露约5GB的Mistral AI内部源代码,并向潜在买家索要2.5万BIN。
TeamPCP在帖子中表示:“我们的目标价格是2.5万BIN,或者他们也可以支付这笔钱,让我们永久销毁这些数据。我们只会卖给出价最高者,而且仅限1人。如果1周内找不到买家,我们将把所有这些数据免费泄露到论坛上。”
在更新后的安全警告中,Mistral AI确认,其受到了由TanStack被攻陷引发的供应链攻击影响,导致其npm和PyPI SDK被发布了带有木马的版本。该公司还表示,有一台开发者设备在此次黑客攻击中受到影响。目前没有证据表明其基础设施遭到入侵。
模块化窃密工具包与定向破坏机制
对通过guardrails-ai和mistralai软件包向Linux系统投递的模块化Python工具包进行进一步分析后发现,其主要命令与控制服务器地址“83.142.209[.]194”被硬编码在程序中。如果主C2服务器无法访问,则会激活一个名为FIRESCALE的后备机制。
网络安全厂商Hunt.io表示:“当主C2不可用时,恶意软件会搜索全球公开的GitHub提交信息,以寻找一个经过嵌入式4096位RSA密钥验证的备用服务器URL。数据窃取会依次通过三条路径进行:主C2服务器、FIRESCALE死信箱投递重定向,以及受害者自己的GitHub仓库。即便其中任意一层被阻断,其余两层依然能够正常运作。”
这家网络安全公司还披露了负责窃取亚马逊AWS云服务凭证的收集模块,其目标列表覆盖全部19个可用区,包括us-gov-east-1和us-gov-west-1,也就是AWS GovCloud美国东部区和西部区。这些区域仅供美国政府机构和国防承包商使用。
此次攻击活动的另一个异常之处在于其附带的破坏性行为。在地理定位位于以色列或伊朗的机器上,恶意软件会以六分之一的概率触发机制,以最大音量播放音频,随后删除所有可访问文件。该恶意软件还会避开使用俄语区域设置的系统。
这些针对特定地理区域的破坏性行为,与TeamPCP此前针对伊朗Kubernetes集群发动的“神风”擦除器攻击如出一辙。当时,该组织借助一次供应链攻击传播了一种名为CanisterWorm的自传播蠕虫。这些反复出现的行为表明,这更像是一场经过精心策划的行动,而非机会主义攻击。
供应链投毒长期维护了大量攻击基础设施
事情还不止于此。对攻击者控制基础设施的进一步审查发现,在83.142.209[.]0/24子网中,有三个不同IP地址曾被用作C2服务器,分别是83.142.209[.]194、83.142.209[.]11和83.142.209[.]203。其中后两个地址分别被用于2026年3月针对Checkmarx和Telnyx的供应链攻击。
Hunt.io研究负责人Esteban Borges在接受外媒The Hacker News采访时表示:“这两个C2地址,也就是83.142.209[.]194和83.142.209[.]203,最早分别于2025年11月15日和11月21日被发现开启SSH服务,比TanStack攻击公开曝光早了约四个月。83.142.209[.]0/24网段是在TeamPCP攻击行动前的准备阶段部署的,随后长期保持静默,以积累干净的历史记录,直到正式启用。基础设施蛰伏养号是有组织团体中相当常见的做法。”
“我们追踪到的截至2026年5月的每一波主要TeamPCP攻击活动中,都出现了同一个子网,而不仅仅是TanStack和FIRESCALE事件。其中包括LiteLLM PyPI攻陷事件、通过GitHub Actions实施的Trivy扫描器劫持、Checkmarx KICS攻击,以及5月出现的Jenkins AST插件后门。”
Hunt.io还指出,FIRESCALE工具和该模块化Python恶意软件,只是归属于这一基础设施的至少四种不同载荷之一。其中还包括早期版本的TeamPCP Cloud Stealer,用于窃取CI/CD运行器中的敏感信息;2025年12月攻击阶段部署的加密货币矿工程序;以及自2026年3月下旬开始,利用前期工具窃取的凭证所投放的VECT勒索软件。
Hunt.io表示:“这一工具包的能力更强、弹性更高,也更加复杂。除了凭证文件之外,恶意软件还会捕获机器上的所有环境变量,读取全部SSH密钥及配置,遍历整个home目录查找dotenv文件,并从正在运行的Docker容器中提取凭证。”
参考资料:bleepingcomputer.com
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
