Știri
Știri din categoria Securitate cibernetică
OpenAI a început rotația certificatelor de semnare a codului după ce două dispozitive ale unor angajați au fost compromise în atacul asupra lanțului de aprovizionare TanStack, o măsură care poate obliga utilizatorii de macOS să își actualizeze aplicațiile înainte de 12 iunie 2026 pentru a evita blocaje la pornire sau la actualizări, potrivit Bleeping Computer.
OpenAI spune că incidentul nu a afectat datele clienților, sistemele de producție, proprietatea intelectuală sau software-ul deja livrat. Compania leagă breșa de campania „Mini Shai-Hulud”, atribuită grupării de extorcare TeamPCP, care a vizat dezvoltatori prin actualizări malițioase introduse în pachete software populare și de încredere.
Într-un buletin de securitate publicat astăzi, OpenAI afirmă că a observat activitate compatibilă cu comportamentul public descris al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați.
„Am observat activitate în linie cu comportamentul descris public al malware-ului, inclusiv acces neautorizat și exfiltrare orientată pe credențiale, într-un subset limitat de depozite interne de cod sursă la care aveau acces cei doi angajați afectați.”
OpenAI susține că au fost furate doar credențiale limitate din aceste depozite și că nu există dovezi că ele au fost folosite în atacuri suplimentare. Ca răspuns, compania a izolat sistemele și conturile afectate, a revocat sesiunile, a rotit credențiale în depozitele vizate, a restricționat temporar fluxurile de implementare și a derulat o investigație criminalistică împreună cu o firmă terță de răspuns la incidente.
Un element cu impact direct pentru utilizatori este expunerea certificatelor de semnare a codului folosite pentru produse OpenAI pe macOS, Windows, iOS și Android. Deși compania spune că nu a detectat abuzarea acestor certificate pentru semnarea de software malițios, le rotește „din precauție”.
Consecința practică: utilizatorii de macOS trebuie să își actualizeze aplicațiile desktop OpenAI înainte de 12 iunie 2026, deoarece aplicațiile semnate cu certificatele vechi ar putea să nu mai pornească sau să nu mai primească actualizări, din cauza procesului de notarizare Apple (mecanismul prin care Apple verifică și autorizează aplicațiile distribuite în afara App Store).
OpenAI precizează că utilizatorii de Windows și iOS nu sunt afectați și nu trebuie să facă nimic.
Breșa OpenAI este prezentată ca parte a unei campanii mai ample care a compromis „sute” de pachete din ecosistemele npm și PyPI. Atacul a vizat inițial pachete TanStack și Mistral AI, apoi s-a extins către alte proiecte, inclusiv UiPath, Guardrails AI și OpenSearch, prin credențiale CI/CD (integrare și livrare continuă) furate și fluxuri legitime.
Cercetători de la Socket și Aikido au urmărit ulterior distribuția a sute de pachete compromise prin depozite legitime. Potrivit post-mortem-ului TanStack, atacatorii au exploatat slăbiciuni în fluxurile GitHub Actions și în configurația CI/CD pentru a executa cod malițios, a extrage tokenuri din memorie și a publica pachete malițioase prin conducta normală de lansare, făcând versiunile compromise să pară legitime.
Malware-ul din campanie a vizat furtul de credențiale de dezvoltare și cloud (tokenuri GitHub, tokenuri de publicare npm, credențiale AWS, secrete Kubernetes, chei SSH și fișiere.env). Cercetătorii mai spun că a încercat să își asigure persistența pe sistemele dezvoltatorilor prin modificarea unor mecanisme de automatizare din Claude Code și VS Code.
Microsoft Threat Intelligence a raportat, la rândul său, că a fost lansat și un instrument de furt de informații pentru Linux, care a vizat sisteme ce rulează software în limba rusă, iar malware-ul ar fi inclus și o componentă distructivă care executa aleator o comandă de ștergere recursivă pe unele sisteme din Israel sau Iran.
OpenAI încadrează incidentul într-o tendință mai largă: atacatorii vizează tot mai des lanțul de aprovizionare software pentru a obține impact extins, în loc să atace companii individuale. Pentru utilizatori, efectul imediat rămâne calendarul de actualizare pe macOS, iar pentru organizații, semnalul de risc este dependența de biblioteci open-source și de infrastructura CI/CD, unde o compromitere „în amonte” se poate propaga rapid.
Recomandate
O campanie de tip supply-chain care a compromis pachete populare din ecosistemele npm și PyPI poate expune credențiale de GitHub, cloud și CI/CD , ceea ce ridică riscul de acces neautorizat în infrastructura de dezvoltare și, implicit, de propagare a codului malițios prin actualizări legitime, potrivit Tom's Hardware . Microsoft Threat Intelligence a transmis într-o postare pe X că investighează compromiterea pachetului PyPI „mistralai”, după ce atacatori ar fi injectat cod malițios care se executa automat la import și descărca un payload secundar deghizat ca „transformers.pyz”, lansând malware pe sisteme Linux. Conform Microsoft, versiunea compromisă ar fi „mistralai” 2.4.6, cu cod inserat în „mistralai/client/ init .py”, care descărca un fișier într-un director temporar și îl executa în fundal. Ce pachete sunt vizate și de ce contează operațional Incidentul apare pe fondul unei „valuri” de compromiteri în lanțul de aprovizionare software (supply-chain), care afectează atât npm (JavaScript), cât și PyPI (Python). Firma de securitate Aikido a avertizat că versiuni malițioase asociate ecosistemului TanStack ar fi fost compromise în două valuri distincte, începând în jurul orei 19:20 UTC (22:20, ora României). Printre pachetele menționate se numără: „@tanstack/react-router” „@tanstack/history” „@tanstack/router-core” Aceste componente sunt descrise ca fiind descărcate „zeci de milioane de ori pe săptămână”, ceea ce amplifică riscul de răspândire rapidă în aplicații și medii de producție. Aikido a mai spus că și mai multe pachete npm ale SDK-ului Mistral ar fi fost compromise în cadrul aceleiași campanii „ Mini Shai-Hulud ”, inclusiv: „@mistralai/mistralai” „@mistralai/mistralai-azure” „@mistralai/mistralai-gcp” În acest context, compania a recomandat dezvoltatorilor să rotească imediat (să înlocuiască) credențiale precum tokenuri GitHub, credențiale npm, chei API de cloud și secrete CI/CD, dacă au instalat pachetele afectate. Miza: credențiale furate din mediile de dezvoltare, nu atacuri la utilizatorul final Deși Microsoft nu a atribuit public compromiterea din PyPI campaniei „Mini Shai-Hulud”, materialul notează că incidentele au trăsături comune: cod malițios introdus în pachete de încredere, descărcare în etape a payload-urilor, furt de credențiale și execuție automată la instalare sau import. Riscul major este unul operațional: mediile moderne de dezvoltare și automatizare (workstation-uri de dezvoltatori, „CI runners” – mașini care rulează automat testele și livrările) conțin frecvent credențiale cu valoare ridicată, precum tokenuri de acces la GitHub, chei de implementare în cloud, credențiale SSH, tokenuri de publicare în npm și acces la sisteme CI/CD. Compromiterea lor poate oferi atacatorilor o cale de a publica actualizări malițioase prin canale legitime, cu efect de cascadă în ecosisteme întregi. Ce măsuri recomandă Microsoft Microsoft a recomandat organizațiilor, între altele, să izoleze gazdele Linux afectate, să blocheze conexiunile către adresa IP malițioasă menționată în analiză, să caute indicatori precum „/tmp/transformers.pyz”, „pgmonitor.py” și „pgsql-monitor.service” și să rotească imediat credențialele potențial expuse. Investigațiile sunt în desfășurare, iar articolul avertizează că ar putea apărea și alte pachete afectate pe măsură ce furnizorii și comunitatea audită infrastructura de publicare și credențialele compromise. [...]
Un nou tip de exploit de escaladare a privilegiilor pe macOS, identificat cu ajutorul modelului AI Mythos , a ajuns pe masa Apple și este în curs de verificare , potrivit 9to5Mac . Miza pentru companii și utilizatori este operațională: ocolirea unor mecanisme „de ultimă generație” de securitate poate deschide calea către preluarea controlului unui Mac, dacă este combinată cu alte atacuri. Ce au găsit cercetătorii și de ce contează Conform informațiilor publicate de The Wall Street Journal (citat de 9to5Mac), o echipă de cercetători a testat în aprilie o versiune timpurie a Mythos, modelul AI al Anthropic, și a folosit tehnicile rezultate pentru a „lega” două erori și „o mână de tehnici” care permit coruperea memoriei unui Mac și accesarea unor zone care ar trebui să fie inaccesibile. Acest tip de atac este descris ca un „exploit de escaladare a privilegiilor” — adică o metodă prin care un atacator poate obține drepturi mai mari în sistem decât ar trebui. În lanț cu alte vulnerabilități, ar putea fi folosit pentru a prelua controlul asupra computerului, potrivit aceleiași relatări. Cine este implicat și în ce stadiu e răspunsul Apple Cercetarea este atribuită unei companii de securitate din Palo Alto, Calif. Publicația notează că Apple „revizuiește” raportul primit de la Calif pentru a valida concluziile. Un purtător de cuvânt al Apple a declarat pentru The Wall Street Journal: „Securitatea este prioritatea noastră principală și tratăm foarte serios rapoartele privind potențiale vulnerabilități.” Echipa Calif ar fi întocmit un raport de 55 de pagini, livrat personal către Apple, în Cupertino, cu detaliile tehnice ale constatărilor. Ce urmează: publicarea detaliilor, după remediere Directorul executiv al Calif, Thai Dong, a spus că atacul „nu ar fi putut fi realizat doar de Mythos” și că a folosit expertiza umană a unor hackeri din echipă. Detaliile despre vulnerabilități ar urma să fie făcute publice după ce Apple rezolvă problemele de bază; în același context, Dong a estimat că erorile „probabil vor fi reparate destul de repede”. În acest moment, articolul nu indică dacă vulnerabilitățile afectează versiuni specifice de macOS sau dacă există exploatare activă în mediul real; informația disponibilă este că Apple investighează raportul și validează constatările. [...]
Proiectul UE de revizuire a Legii privind securitatea cibernetică ar putea împinge companiile spre costuri masive de înlocuire a furnizorilor , cu un „preț” estimat la aproape 367,8 miliarde euro (aprox. 1.840 miliarde lei), dacă ar forța înlocuirea furnizorilor chinezi în 18 sectoare critice, potrivit Global Times , care citează o poziție transmisă de Camera de Comerț a Chinei pe lângă UE (CCCEU) . CCCEU spune că a trimis feedback către planul UE și avertizează că unele elemente din propunerea CSA2 (revizuirea Cybersecurity Act) ar introduce măsuri restrictive „prea largi”, fără o metodologie de evaluare a riscurilor transparentă și bazată pe dovezi. În mod special, camera critică ideea unor politici obligatorii, cuprinzătoare și limitate în timp de „excludere” a furnizorilor din mai multe sectoare considerate critice. Costuri, operațiuni și efecte economice: miza pentru piața unică În evaluarea camerei chineze, astfel de excluderi ar putea avea efecte directe asupra funcționării pieței: ar perturba operațiunile normale ale pieței; ar crește costurile de conformare pentru companii; ar avea efecte adverse mai largi asupra tranzițiilor verde și digitală ale Europei, asupra competitivității industriale și asupra relațiilor economice cu parteneri comerciali importanți. Raportul menționat de CCCEU, transmis publicației pe 6 mai, estimează costul total la aproape 367,8 miliarde euro (aprox. 1.840 miliarde lei) în scenariul înlocuirii furnizorilor chinezi în 18 sectoare critice. Ce propune Comisia Europeană și de ce e contestat Potrivit articolului, în ianuarie Comisia Europeană a propus un nou pachet de securitate cibernetică, inclusiv o „Propunere de regulament privind Legea UE a securității cibernetice”, care urmărește eliminarea treptată a componentelor și echipamentelor de la „furnizori cu risc ridicat” din infrastructura critică. Demersul este descris ca fiind perceput pe scară largă drept țintind companii chineze și parte dintr-un set mai amplu de instrumente protecționiste ale UE orientate către China. În ultimele zile, notează materialul, și alte camere de afaceri chineze din Europa (inclusiv din Polonia, Spania și Italia) au exprimat îngrijorări similare. Reacția Beijingului: avertisment privind contramăsuri Ministerul de Externe al Chinei a cerut UE să aibă o abordare „cuprinzătoare, obiectivă și pozitivă” asupra relațiilor economice și comerciale China–UE, să respecte regulile Organizației Mondiale a Comerțului și principiile de piață și să înceteze acțiunile considerate dăunătoare. Purtătorul de cuvânt Lin Jian a declarat pe 8 mai că, dacă UE transformă propunerea în lege și discriminează companii chineze, China va lua măsuri pentru a proteja drepturile și interesele legitime ale firmelor sale. Și Ministerul Comerțului din China a avertizat anterior că revizuirea ar putea afecta substanțial relațiile economice și comerciale China–UE, ar perturba lanțurile industriale și de aprovizionare globale și ar submina chiar tranzițiile digitală și verde ale UE, adăugând că Beijingul ar putea răspunde cu „contramăsuri” dacă proiectul devine lege în forma criticată. [...]
Android va începe să închidă automat apelurile care se dau drept bănci , o schimbare cu impact direct asupra fraudelor telefonice, potrivit Android Police . Măsura vizează în special apelurile în care escrocii „clonează” (spoof) numărul sau numele unei instituții financiare pentru a părea legitimi. Cum funcționează protecția și de ce contează Noua funcție urmărește să reducă pierderile generate de escrocherii care se prezintă ca fiind din partea băncilor. Publicația notează că această metodă de fraudă a devenit frecventă și că, la nivel global, escrocii ajung să fure aproape 1 miliard de dolari pe an (aprox. 4,6 miliarde lei) prin astfel de scheme. Mecanismul descris are două componente: Android va verifica activ, împreună cu aplicația băncii, dacă apelul este unul oficial. Dacă aplicația raportează că nu inițiază un apel către utilizator, telefonul va închide automat convorbirea. Sistemul va respinge automat apelurile de la numere pe care banca le-a desemnat „doar pentru apeluri primite” (inbound-only), adică numere de la care, în mod normal, nu ar trebui să te sune nimeni. Condiții, compatibilitate și calendar de lansare Protecția nu este „infailibilă”: utilizatorul trebuie să aibă instalată aplicația băncii respective pentru ca verificarea să funcționeze. Google spune că funcția va fi disponibilă pe dispozitive cu Android 11 și versiuni mai noi și va începe să fie distribuită „în următoarele săptămâni”. La lansare, suportul este menționat pentru Revolut , Itaú și Nubank, iar extinderea către alte aplicații bancare ar urma să vină în cursul anului următor. Context: pachet mai larg de măsuri anti-fraudă și anti-furt În același anunț, Google a prezentat și alte măsuri de securitate pentru Android, inclusiv controale suplimentare pentru situațiile de furt (de exemplu, opțiuni mai stricte în „Mark as Lost” din Find Hub) și monitorizare „dinamică” a comportamentului aplicațiilor pentru a semnala posibile tentative de furt de date, cu opțiunea de dezinstalare. [...]
Google își extinde apărarea anti-fraudă cu filtre bazate pe inteligență artificială și schimb de date între companii și autorități , mizând pe blocarea la scară mare a tentativelor de înșelăciune înainte să ajungă la utilizatori, potrivit Google Blog . Mesajul vine în contextul în care compania descrie atât măsuri tehnice integrate în produse (Gmail, Chrome, Search, Android), cât și colaborări cu instituții publice și inițiative educaționale. În centrul strategiei este folosirea inteligenței artificiale ca „primă linie” de apărare, cu rezultate prezentate ca volum și rată de blocare: Google spune că oprește peste 99,9% din spam, phishing și programe malițioase înainte să ajungă în Gmail și că blochează aproape 15 miliarde de e-mailuri nedorite pe zi. În Chrome, compania afirmă că anticipează și blochează în timp real site-uri periculoase, iar în Search filtrează „sute de milioane” de pagini de tip spam zilnic, pentru a menține rezultatele „99% fără spam”. Filtrare la scară mare în publicitate și detecție pe dispozitiv Pe zona de publicitate, Google indică faptul că în 2025 sistemele sale au identificat peste 99% dintre reclamele care încălcau politicile înainte să fie văzute de utilizatori și că a blocat sau eliminat peste 8,3 miliarde de reclame, dintre care 602 milioane asociate cu escrocherii. Tot pe linia protecțiilor automate, compania menționează „Scam Detection” în aplicația Phone by Google, unde inteligența artificială rulează pe dispozitiv și alertează utilizatorii în timp real atunci când detectează tipare conversaționale specifice escrocilor. Instrumente pentru utilizatori: verificare rapidă și semnale în timp real Google pune accent și pe instrumente prin care utilizatorii își pot întări securitatea conturilor și pot verifica suspiciuni „în momentul în care apar”: Security Checkup , pentru consolidarea setărilor de securitate ale contului, inclusiv activarea „Passkeys” (chei de acces) și verificarea în doi pași (2-Step Verification); Circle to Search pe Android, care permite selectarea unui mesaj suspect pentru o evaluare bazată pe inteligență artificială și recomandări; alternativ, aceeași verificare se poate face prin captură de ecran și Google Lens . Educație și finanțare: program interactiv și ținte de acoperire Pe componenta de prevenție, Google descrie inițiativa „Be Scam Ready”, un program interactiv, de tip joc, care simulează în siguranță scenarii de fraudă. Compania susține că abordarea „învățare prin practică” are rezultate mai bune decât campaniile tradiționale de conștientizare. Programul este disponibil în engleză, portugheză, thailandeză și chineză tradițională și ar urma să fie lansat în mai multe limbi „mai târziu în acest an”, inclusiv franceză, spaniolă și arabă. În plus, Google reamintește un angajament de 5 milioane de dolari (aprox. 23 milioane lei) prin Google.org, anunțat la summitul de anul trecut, pentru combaterea escrocheriilor în Europa și Orientul Mijlociu. Beneficiarii menționați, Internet Society (ISOC) și Oxford Information Labs (OXIL), derulează programe de instruire „la firul ierbii”, cu obiectivul de a proteja peste 7 milioane de persoane vulnerabile și de a echipa mii de lucrători din prima linie cu instrumente de „reziliență” la fraude. Schimb de date și acțiuni împotriva rețelelor: GSE, poliție și litigii Pentru a opri fraudele care operează pe mai multe platforme și în mai multe țări, Google indică rolul Global Signal Exchange (GSE), descris ca un „clearinghouse” global pentru date despre amenințări. Platforma ar stoca peste 1,2 miliarde de „semnale”, iar Google, ca partener fondator, atât consumă, cât și furnizează informații, în timp ce modelele sale de inteligență artificială analizează semnalele pentru a identifica tipare care pot sprijini investigații și acțiuni de aplicare a legii. Pe partea de intervenție, compania spune că lucrează cu agenții de aplicare a legii, inclusiv cu National Crime Agency (NCA) din Marea Britanie, și că, pe baza semnalelor partajate prin GSE, echipele sale au identificat și perturbat o rețea de fraudă din Africa de Vest. Google mai menționează că este semnatar al „Industry Accord Against Online Scams and Fraud” și că a inițiat acțiuni legale împotriva unor operațiuni, inclusiv „Lighthouse” (o rețea de tip „phishing-as-a-service”, adică furnizare de infrastructură pentru atacuri de tip phishing) și operatorii botnetului BadBox. În ansamblu, mesajul companiei este că lupta anti-fraudă se mută tot mai mult în zona de automatizare prin inteligență artificială și cooperare interinstituțională, cu efect direct asupra modului în care sunt filtrate e-mailurile, reclamele și accesul la site-uri, dar și asupra instrumentelor de verificare pe care utilizatorii le au la îndemână. [...]
Atacul ransomware asupra Foxconn riscă să expună proiecte și infrastructură ale altor giganți tech, chiar dacă Apple pare neafectată , potrivit AppleInsider . Gruparea Nitrogen susține că a furat peste 8 TB de date (peste 11 milioane de fișiere), iar eșantionul analizat indică documente sensibile legate de proiecte AMD, Google și Intel. Ce s-a întâmplat și ce date ar fi fost luate Foxconn a confirmat că unitatea sa din Mount Pleasant, Wisconsin , a fost afectată de un atac în mai 2026. Nitrogen afirmă că a extras un volum mare de date, incluzând „instrucțiuni confidențiale, proiecte și desene” asociate mai multor companii și inițiative. AppleInsider precizează că nu a publicat linkuri către fișierele presupus furate, dar a analizat setul de mostre pus la dispoziție de atacatori pentru a estima amploarea incidentului. Din eșantion ar reieși, între altele: documente financiare legate de unitatea Foxconn din Houston, Texas; documentație tehnică despre senzori de temperatură, circuite integrate, layout-uri de plăci și alte elemente de inginerie; documente de tip „topologie de rețea” (hărți ale infrastructurii) pentru proiecte AMD, Intel și Google, inclusiv fișiere despre procesoare de server, socket-uri și componente conexe. Publicația notează că setul de mostre pare să fie dominat de materiale ale echipei de inginerie electrică a Foxconn. De ce contează economic și operațional: riscul se mută spre infrastructură și clienți non-Apple Deși titlul incidentului gravitează în jurul lanțului de aprovizionare Apple, miza imediată pare să fie expunerea de informații care pot afecta operațional alte proiecte și clienți ai Foxconn. Analistul Mark Henderson susține că „specificațiile de topologie pentru Google și Intel sunt adevărata problemă”, descriindu-le drept „hărți arhitecturale ale infrastructurii active”, care ar putea fi folosite pentru identificarea vulnerabilităților în centre de date. Separat, atacul ar fi avut și efecte directe în fabrică. Conform publicației locale TMJ4, unitatea din Mount Pleasant a avut o întrerupere de rețea la începutul lunii mai 2026, iar producția ar fi fost întreruptă aproximativ o săptămână, după care a fost reluată. The Cybersec Guru relatează că problemele ar fi început pe 1 mai, cu oprirea Wi‑Fi la 7:00 (ora de Est) și perturbări ale infrastructurii principale până la 11:00 (ora de Est), iar activitatea ar fi rămas afectată până pe 12 mai 2026. „Ni s-a spus să ne oprim computerele și să nu ne mai logăm în niciun caz. Terminalele de pontaj erau moarte. Completam foi de pontaj pe hârtie doar ca să ne urmărim orele.” De ce Apple pare mai puțin expusă în acest caz AppleInsider arată că nu este clar dacă există fișiere legate direct de proiecte Apple existente sau viitoare. Un motiv invocat: unitatea Foxconn din Mount Pleasant produce în principal televizoare și servere de date, nu dispozitive Apple. Pe baza eșantionului analizat, publicația spune că nu pare ca Nitrogen să fi obținut scheme Apple, documentație a echipelor Foxconn implicate în dezvoltarea produselor Apple sau date de control al calității Apple. Totuși, articolul subliniază o limitare importantă: prezența unor documente legate de unitatea din Houston sugerează că atacatorii ar fi putut obține date și din alte locații, nu doar din Wisconsin, inclusiv prin e-mail sau servere de partajare de fișiere. Cine este Nitrogen și ce particularitate are atacul Nitrogen ar fi activă din 2023, cu posibile legături cu ecosistemul BlackHat/ALPHV, și folosește un model de „dublă extorcare” (criptează datele și amenință ulterior cu publicarea lor). În același timp, potrivit Coveware, instrumentul de criptare ESXi folosit de Nitrogen ar avea un defect critic: în timpul criptării, cheia publică a fișierelor se corupe, ceea ce ar face imposibilă decriptarea chiar și dacă se plătește răscumpărarea. Ce urmează Amploarea completă a incidentului rămâne neclară, în condițiile în care volumul revendicat este foarte mare, iar informațiile disponibile provin parțial din mostre publicate de atacatori. Pe datele analizate până acum, AppleInsider apreciază că este puțin probabil ca designurile produselor Apple să apară ca urmare a acestui atac, însă riscul de expunere pentru proiecte și infrastructuri ale altor companii rămâne o problemă majoră. [...]
