Olayın merkezinde, geliştiricilerin web uygulamaları oluştururken sıkça kullandığı TanStack kütüphanesi yer alıyor.
Yapılan açıklamaya göre saldırganlar, kısa süreliğine sisteme sızarak altı dakika içinde 84 kötü amaçlı sürüm yayınladı. Durumun hızlı şekilde fark edilmesiyle birlikte zararlı paketlerin yayılımı kısa sürede durduruldu.
OpenAI, saldırı sonucunda iki çalışanın erişim yetkisine sahip olduğu bazı dahili kaynak kodu depolarında yetkisiz erişim ve kimlik bilgisi hırsızlığı yaşandığını açıkladı.
Şirket, yalnızca sınırlı miktarda kimlik doğrulama materyalinin ele geçirildiğini ve kullanıcı verilerine erişildiğine dair herhangi bir kanıt bulunmadığını belirtti.
DİJİTAL SERTİFİKALAR YENİLENİYOR
Güvenlik önlemleri kapsamında etkilenen depolarda kullanılan dijital sertifikaların yenilenmesine karar verildi. Özellikle macOS kullanıcılarının uygulamalarını güncellemelerinin gerekebileceği ifade edildi.
OpenAI ayrıca mevcut sistemlerde herhangi bir değişiklik yapılmadığını ve aktif kullanıcılar için doğrudan bir risk tespit edilmediğini vurguladı.
Son yıllarda açık kaynak yazılım ekosistemlerini hedef alan tedarik zinciri saldırılarının sayısında ciddi artış yaşanıyor. Uzmanlar, tek bir popüler kütüphanenin ele geçirilmesinin binlerce geliştirici ve şirketi aynı anda etkileyebileceğine dikkat çekiyor.
