Серьёзный Сбой В Цепочке Поставок: Как Хакеры Компрометировали Tanstack И Коснулись Openai

Ключевые выводы

  • Хакеры взломали репозиторий TanStack, опубликовали 84 вредоносных npm‑пакета и в течение 6 минут распространили их среди разработчиков.
  • OpenAI подтвердил компрометацию устройств двух сотрудников, но данных пользователей и продакшн‑систем не затронули.
  • Атаки цепочки поставок остаются основной угрозой: злоумышленники используют популярные open‑source библиотеки, чтобы заразить сразу десятки компаний.
Вирусные пакеты в открытом коде могут выглядеть безобидно, но их распространение происходит мгновенно. Если вы используете сторонние библиотеки, проверяйте подписи и следите за обновлениями безопасности.

Что случилось: кратко о взломе TanStack

В начале недели хакеры получили доступ к репозиторию TanStack — популярной библиотеки JavaScript, используемой для построения веб‑приложений. За шесть минут они опубликовали 84 вредоносных версии пакетов в npm‑реестре. Каждый из этих пакетов содержал код, который крал учётные данные с заражённых машин и пытался самораспространяться.

Обнаружить инцидент удалось исследователю безопасности уже спустя 20 минут после публикации. После этого команда TanStack быстро отозвала вредоносные версии и выпустила постмортем, где подробно описала ход атаки.

Важно понять, почему такая короткая «окна уязвимости» могут иметь огромный эффект. Пакет в npm скачивает любой разработчик, а если он уже включён в проект, то все компании‑пользователи получают вредоносный код одновременно.

OpenAI в центре внимания

В среду OpenAI объявила, что два сотрудника пострадали от этой же атаки. По их словам, устройства работников были «задействованы» во время компрометации TanStack, но расследование показало отсутствие доступа к пользовательским данным и к производственным системам компании.

Тем не менее, злоумышленники получили доступ к ограниченному набору внутренних репозиториев, где хранились цифровые сертификаты, используемые для подписи продуктов OpenAI. Компания уже начала их ротировать, а пользователям macOS придётся обновить приложение.

OpenAI подчёркивает, что «нет доказательств компрометации уже установленного программного обеспечения», однако предупреждает о возможных рисках для будущих версий.

Почему цепочка поставок — привлекательная цель

Атака на TanStack — не единичный случай. За последние месяцы были зарегистрированы похожие инциденты:

  • В марте северокорейские хакеры захватили Axios (инструмент для работы с HTTP) и внедрили туда вредоносный код.
  • В мае китайские группы подозреваются в подстановке бэкдоров в Daemon Tools, что могло затронуть тысячи Windows‑пользователей.
  • Ранее в 2023‑м году известная группировка TeamPCP уже использовала похожие тактики, атакуя несколько npm‑пакетов.

Суть проста: вместо того чтобы взламывать каждую компанию отдельно, злоумышленники берут под контроль один популярный проект и «распространяются» до всех его потребителей.

Как обнаружить и предотвратить подобные атаки

Если вы разработчик или отвечаете за инфраструктуру, держите в уме несколько практических шагов:

  1. Верификация подписи пакетов. Используйте инструменты, проверяющие цифровые подписи (например, npm audit, sigstore).
  2. Мониторинг изменений в зависимостях. Настройте CI‑pipeline, который сравнивает хэши новых версий с известными безопасными.
  3. Ограничьте права доступа. Сотрудники, работающие с критически важными репозиториями, должны иметь минимум привилегий.
  4. Обучайте команду. Регулярные воркшопы по безопасности цепочки поставок снижают человеческий фактор.
  5. План реагирования. Иметь готовый план действий (incident response) поможет быстро изолировать заражённые системы.

Кто может стоять за атакой?

Идентифицировать авторов сложно. Некоторые эксперты связывают текущий инцидент с группой TeamPCP, однако официальных подтверждений нет. Схожие методы использовали как северокорейские, так и китайские хакерские коллективы, поэтому точный «преступный профиль» пока остаётся неизвестным.

Что ясно: мотивы — финансовая выгода и возможность получить доступ к корпоративным секретам через цепочку поставок.

Что делать компаниям‑пользователям TanStack?

Если ваш продукт зависит от TanStack, рекомендуется:

  • Сразу обновить до последней версии, выпущенной после инцидента.
  • Проверить свои репозитории на наличие неизвестных сертификатов.
  • Оценить, какие учётные данные могли быть скомпрометированы, и при необходимости их сменить.

Кроме того, стоит пересмотреть политику использования внешних зависимостей: ограничьте автоматическое обновление пакетов без ручного обзора.

Справка

TanStack — компания, создавшая набор библиотек (React Query, TanStack Router и др.) для упрощения разработки SPA‑приложений. Основана в 2020‑м году, быстро завоевала популярность благодаря лёгкой интеграции и хорошей документации.

OpenAI — исследовательская организация в сфере искусственного интеллекта, известна разработкой GPT‑моделей. Основана в 2015‑м году группой предпринимателей, включая Илона Маска. Продукты компании используют миллионы пользователей по всему миру.

npm — крупнейший реестр пакетов для JavaScript, обслуживает более 2 млн пакетов. Публикация новых версий происходит мгновенно, поэтому защита от подмены критически важна.

TeamPCP — хакерская группировка, впервые замеченная в 2022‑м году, известна атаками на цепочку поставок npm и PyPI. Их методы включают компрометацию учетных записей разработчиков и подстановку кода в популярные библиотеки.

Axios — библиотека для HTTP‑запросов в JavaScript, использующаяся в миллионах проектов. В марте 2024‑го её репозиторий был временно захвачен, что показало уязвимость даже самых «мелких» зависимостей.

Атаки цепочки поставок — не фантастика, а реальная угроза. Регулярный аудит зависимостей и ограничение привилегий могут спасти вас от масштабных утечек.

Интересно почитать :

Рейд Хоффман призывает Кремниевую долину перестать нейтральничать с Трампом
после расстрела граждан ICE
Рейд Хоффман призывает Кремниевую долину перестать нейтральничать с Трампом после расстрела граждан ICE

Когда пограничные агенты расстреляли двух американцев, Кремниевая долина промолчала. Рейд Хоффман, сооснователь LinkedIn, разорвал это молчание жёстким призывом: "Нейтралитет - это выбор в пользу Трампа". Его позиция раскалывает технологическую элиту …

Как стартап из Кремниевой долины создает операционную систему для борьбы с
пожарами будущего
Как стартап из Кремниевой долины создает операционную систему для борьбы с пожарами будущего

"Ты называешь себя учёным? Тогда сделай что-то реальное!" – эти слова жены заставили доктора наук сменить солнечные панели на пожарные сопла. Сегодня его компания помогает спасать жизни и собирает уникальные …

Фильм «Миссия „Аve Maria“» с Райаном Гослингом стал главным хитом Amazon. Почему
это важно для всего кино?
Фильм «Миссия „Аve Maria“» с Райаном Гослингом стал главным хитом Amazon. Почему это важно для всего кино?

Ключевые выводы Фильм «Миссия „Ave Maria“» (Project Hail Mary) стал самым кассовым в истории Amazon, собрав более $300 млн worldwide на 10 дней проката. Это редкий успех для крупнобюджетного фильма, …

Как выбрать саундбар: полный гайд по выбору звуковой панели в 2026 году
Как выбрать саундбар: полный гайд по выбору звуковой панели в 2026 году

Кратко: Выбирайте саундбар с форматом 3.1.2 или 5.1.2 для объемного звучания Минимальная мощность — 200 Вт для помещений до 20 м² Обязательно поддержка HDMI eARC для современных консолей и телевизоров …

Revolut готовится к IPO: почему оценка банка может достичь $200 млрд
Revolut готовится к IPO: почему оценка банка может достичь $200 млрд

Ключевые выводы Revolut нацеливается на рыночную капитализацию $150‑200 млрд в IPO, планируемом не ранее 2026 года. За 2025 год компания заявила о доходе $6 млрд и чистой прибыли $1,7 млрд, …

Uber инвестирует $10 млрд в автономные автомобили: новая эпоха «тяжёлых» активов
Uber инвестирует $10 млрд в автономные автомобили: новая эпоха «тяжёлых» активов

Ключевые выводы Uber вложил более $10 млрд в автономные транспортные технологии, из которых $7,5 млрд предназначены для покупки готовых роботакси. Компания переходит от «проектов‑мировоззрений» (Elevate, ATG, Jump) к стратегии владения …

ФильтрИзбранноеМеню43750 ₽
Top