ለTanStack npm የአቅርቦት ሰንሰለት ጥቃት የሰጠነው ምላሽ

በቅርቡ፣ የ Mini Shai-Hulud⁠(በአዲስ መስኮት ውስጥ ይክፈታል) ተብሎ የሚታወቀው ሰፊ ጥቃት አካል የሆነ፣ TanStack npm የተባለ በስፋት ጥቅም ላይ የሚውል ክፍት-ምንጭ ቤተ መፃህፍትን የሚመለከት የደህንነት ችግር ለይተን አውቀናል። የOpenAI ተጠቃሚ ውሂብ እንደተደረሰበት፣ የምርት ስርዓቶቻችን ወይም የአእምሯዊ ንብረታችን እንደተጎዱ፣ ወይም ሶፍትዌራችን እንደተቀየረ ምንም ማስረጃ አላገኘንም።

የተጠቃሚዎቻችንን ውሂብ፣ ስርዓቶች እና የአእምሯዊ ንብረት ለመጠበቅ ወሳኝ እርምጃዎችን ወስደናል። እንደ የምላሻችን አካል፣ የmacOS መተግበሪያዎቻችን ህጋዊ የOpenAI መተግበሪያዎች መሆናቸውን የሚያረጋግጥ ሂደት ለመጠበቅ እርምጃዎችን እየወሰድን ነው።

የመረጃዎ ደህንነት እና ግላዊነት በከፍተኛ ቅድሚያ የሚሰጠው ጉዳይ ነው። ችግሮች ሲከሰቱ ግልጽ ለመሆን እና ፈጣን እርምጃ ለመውሰድ ቁርጠኞች ነን። ከዚህ በታች ተጨማሪ ቴክኒካዊ ዝርዝሮችን እና FAQ እናጋራለን።

በግንቦት 2 ቀን 2018 ዓ.ም UTC፣ በሰፊው የሚጠቀሙበት ክፍት ምንጭ ቤተ መፃህፍት TanStack፣ Mini Shai-Hulud በመባል የሚታወቀው ሰፊ የሶፍትዌር አቅርቦት ሰንሰለት ጥቃት አካል ሆኖ ተጎድቷል⁠(በአዲስ መስኮት ውስጥ ይክፈታል)።

በድርጅታችን አካባቢ ያሉ ሁለት የሠራተኛ መሣሪያዎች በዚህ ጥቃት ተጎድተዋል። ተንኮል አዘል እንቅስቃሴውን ካወቅን በኋላ ለመመርመር፣ ለመቆጣጠር እና ስርዓቶቻችንን ለመጠበቅ እርምጃዎችን ለመውሰድ በፍጥነት ሰርተናል። እንደ የምርመራችን እና የምላሻችን አካል፣ የሶስተኛ ወገን ዲጂታል ፎረንሲክስ እና የክስተት ምላሽ ድርጅትን አሳትፈናል።

ማልዌሩ በይፋ ከተገለጸው ባህሪ ጋር የሚስማማ እንቅስቃሴ እንዳሳየ ተመልክተናል፣ ይህም ያልተፈቀደ መዳረሻ እና በማረጋገጫ መረጃ ላይ የሚያተኩር የውጭ ማስወጣት እንቅስቃሴን ያካትታል፣ ይህም ሁለቱ የተጎዱ ሠራተኞች መዳረሻ ባላቸው ውስጣዊ የምንጭ ኮድ ማከማቻዎች ውስጥ በተወሰነ ክፍል ብቻ ታይቷል። ከእነዚህ የኮድ ማከማቻዎች ውስጥ የተወሰነ የማረጋገጫ መረጃ ብቻ በተሳካ ሁኔታ እንደተወሰደ እና ሌላ መረጃ ወይም ኮድ እንዳልተጎዳ አረጋግጠናል።

እንቅስቃሴውን ለመቆጣጠር ወዲያውኑ እርምጃ ወስደናል። የተጎዱ ስርዓቶችን እና መለያዎችን ለይተናል፣ የተጠቃሚ ክፍለ ጊዜዎችን ሰርዘናል፣ በተጎዱ ማከማቻዎች ሁሉ ያሉ ማረጋገጫዎችን ቀይረናል፣ የኮድ ማሰማራት የሥራ ሂደቶችን ለጊዜው ገድበናል፣ እና የተጠቃሚ እና የማረጋገጫ ባህሪን በጥልቀት መርምረናል። እንደ የምርመራችን አካል፣ በደንበኛ ውሂብ ወይም በአእምሯዊ ንብረታችን ላይ ተፅዕኖ እንዳለ ማስረጃ አላየንም፣ እና ትንታኔያችን የተጎዱ ማረጋገጫዎች አላግባብ መጠቀም ወይም በአስጊው ተዋናይ ተከታታይ የሆነ የመዳረሻ ስርቆት እንዳለ አላሳየም።

የተጎዱት የምንጭ ኮድ ማከማቻዎች ለምርቶቻችን የመፈረሚያ ሰርተፍኬቶችን ያካትቱ ነበር፣ ይህም iOS፣ macOS እና Windowsን ያካትታል። በዚህ ምክንያት፣ እንደ ጥንቃቄ የኮድ መፈረሚያ ሰርተፍኬቶችን እየቀየርን ነው፣ ይህም የmacOS ተጠቃሚዎች መተግበሪያዎቻቸውን እንዲያዘምኑ ያስፈልጋል። ለWindows እና iOS መተግበሪያዎች ተጠቃሚዎች ምንም እርምጃ መውሰድ አያስፈልጋቸውም። ለmacOS ተጠቃሚዎች ስለእነዚህ አስፈላጊ ዝማኔዎች ተጨማሪ መመሪያ እንሰጣለን።

ከሰርተፍኬቶች መቀየር በተጨማሪ፣ እነዚህን ሰርተፍኬቶች በመጠቀም ያልተፈቀደ አጠቃቀም እንዳይኖር አዲስ ኖተራይዜሽኖችን ለማስቆም ከመድረክ አቅራቢዎች ጋር እየተባበርን ነው። እንዲሁም በቀድሞ ሰርተፍኬቶቻችን የተጠቀመ ሶፍትዌር ሁሉንም ኖተራይዜሽኖች ገምግመናል እንዳልተጠበቀ የሶፍትዌር ፊርማ በእነዚህ ቁልፎች እንዳልተፈጸመ ለማረጋገጥ፣ እና የታተመው ሶፍትዌራችን ያልተፈቀደ ማሻሻያ እንዳልነበረበት አረጋግጠናል። በነባር የሶፍትዌር ጭነቶች ላይ ጉዳት ወይም አደጋ እንዳለ ማስረጃ አላገኘንም።

ሰኔ 5 ቀን 2018 ዓ.ም ላይ ሰርተፍኬታችንን ሙሉ በሙሉ ከሰረዝን በኋላ፣ በቀድሞው ሰርተፍኬት ተፈርመው የመተግበሪያዎች አዲስ ማውረዶች እና ማስጀመሮች ሲኖሩ በmacOS የደህንነት ጥበቃዎች ይታገዳሉ።

ከ የAxios ክስተት በኋላ፣ እንደዚህ ያሉ የአቅርቦት ሰንሰለት ጥቃቶች የሚያስከትሉትን ተፅዕኖ ለመቀነስ የተወሰኑ የደህንነት ቁጥጥሮችን እና ቴክኖሎጂዎችን ማሰማራትን አፋጠንን። የደህንነት ምላሻችን በCI/CD ፓይፕላይናችን ውስጥ የሚጠቀሙ ልዩ ጥንቃቄ የሚያስፈልጋቸው የማረጋገጫ መረጃዎችን ተጨማሪ ማጠናከር፣ minimumReleaseAge ያሉ መቆጣጠሪያዎች ያሉባቸው የፓኬጅ አስተዳደር ቅንብሮችን ማሰማራት፣ እና የአዳዲስ ፓኬጆችን ምንጭ ለማረጋገጥ ተጨማሪ የደህንነት ሶፍትዌርን ያካትታል።

ይህ ክስተት እነዚህን መቆጣጠሪያዎች ደረጃ በደረጃ በማሰማራት እና በማስጀመር ሂደታችን ወቅት ተከስቷል፣ እና የተጎዱት ሁለቱ የሠራተኛ መሣሪያዎች ማልዌር የያዘውን አዲስ የታየ ፓኬጅ ማውረድ የሚከለክሉ የተዘመኑ ቅንብሮች አልነበሯቸውም።

ይህ ክስተት በአስጊ ሁኔታ መስክ ውስጥ ያለውን ሰፊ ለውጥ ያንጸባርቃል፦ አጥቂዎች ከአንድ ኩባንያ ይልቅ የጋራ የሶፍትዌር ጥገኞችን እና የልማት መሣሪያዎችን በበለጠ ዒላማ እያደረጉ ነው። ዘመናዊ ሶፍትዌር በጥልቅ የተገናኘ የክፍት ምንጭ ላይብረሪዎች፣ የፓኬጅ አስተዳዳሪዎች፣ እና ቀጣይ ውህደት እና ቀጣይ ማሰማራት መሠረተ ልማት ላይ ይገነባል፣ ይህም ከምንጩ ላይ የገባ ተጋላጭነት በድርጅቶች መካከል በሰፊው እና በፍጥነት ሊስፋፋ ይችላል ማለት ነው። የሶስተኛ ወገን ክፍሎችን ትክክለኛነት እና ምንጭ የሚያረጋግጡ መቆጣጠሪያዎች ላይ ኢንቨስት ማድረጋችንን እና ከእነዚህ ዓይነት የኢኮሲስተም ደረጃ የአቅርቦት ሰንሰለት ጥቃቶች መከላከያችንን ማጠናከራችንን እንቀጥላለን።

የOpenAI ምርቶች ወይም የተጠቃሚ ውሂብ ተጎድተዋል?

አይ። የOpenAI ምርቶች ወይም የተጠቃሚ ውሂብ እንደተጎዱ ወይም እንደተጋለጡ ምንም ማስረጃ አላገኘንም።

እንደ OpenAI የተፈረመ ማልዌር አይታችኋል?

አይ። በOpenAI ማንኛውም ሰርተፍኬቶች የተፈረሙ ተንኮል አዘል ሶፍትዌሮች እንዳሉ ማስረጃ አላገኘንም።

የይለፍ ቃሌን መቀየር ያስፈልገኛል?

አይ። የደንበኛ/የተጠቃሚ የይለፍ ቃላት እና API ቁልፎች አልተጎዱም።

ይህ የሚነካው የትኞቹን መድረኮች ነው?

የWindows፣ macOS፣ iOS እና Android የመፈረሚያ ቁልፎቻችን ተጎድተዋል። ሁሉም መተግበሪያዎቻችን እንደገና በአዲስ ሰርተፍኬቶች እየተፈረሙ እና እየተለቀቁ ነው። የmacOS ተጠቃሚዎች መተግበሪያዎች መስራታቸውን እንዲቀጥሉ እስከ ሰኔ 5 ቀን 2018 ዓ.ም ድረስ ለማዘመን እርምጃ መውሰድ ይኖርባቸዋል።

የMac መተግበሪያዎቼን እንዳዘምን ለምን ጠየቃችሁኝ?

ማዘመን በቅርብ ጊዜ በወጣው ሰርተፍኬታችን የተፈረሙ ስሪቶችን እያሄዱ መሆናችሁን ያረጋግጣል። ይህ ሰርተፍኬት ሶፍትዌሩ ከህጋዊው ገንቢ OpenAI እንደመጣ ደንበኞች እንዲያውቁ ይረዳል።

የተዘመኑትን የmacOS መተግበሪያዎች ከየት አውርዳለሁ?

የOpenAI መተግበሪያዎችን ከመተግበሪያው ውስጥ ባሉ ዝማኔዎች ወይም ከታች ካሉት ኦፊሴላዊ ድረ-ገጾች ብቻ ያውርዱ፦

• ChatGPT⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Codex መተግበሪያ⁠
• Codex CLI⁠(በአዲስ መስኮት ውስጥ ይክፈታል)
• Atlas⁠

ከኢሜይሎች፣ መልዕክቶች፣ ማስታወቂያዎች ወይም ከሶስተኛ ወገን የማውረጃ ጣቢያዎች ባሉ አገናኞች መተግበሪያዎችን አይጫኑ። በኢሜይል፣ በጽሑፍ፣ በቻት መልዕክቶች፣ በማስታወቂያዎች፣ በፋይል ማጋሪያ አገናኞች ወይም በሶስተኛ ወገን የማውረጃ ጣቢያዎች የሚላኩ ያልተጠበቁ «OpenAI፣» «ChatGPT፣» ወይም «Codex» ጫኚዎች ሲያጋጥሟቹ በጥንቃቄ ይመልከቱ።

ከሰኔ 5 ቀን 2018 ዓ.ም በኋላ ምን ይሆናል?

ከሰኔ 5 ቀን 2018 ዓ.ም ጀምሮ፣ የቆዩ የmacOS ዴስክቶፕ መተግበሪያዎቻችን ከእንግዲህ በኋላ ዝማኔዎችን ወይም ድጋፍን አይቀበሉም፣ እና ላይሰሩ ይችላሉ። እነዚህ ስሪቶች በጊዜው ያለፈበት ሰርቲፊኬታችን የተፈረሙ የመጨረሻዎቹን ልቀቶች ይወክላሉ፦

• ChatGPT ዴስክቶፕ፦ 1.2026.118
• Codex መተግበሪያ፦ 26.506.31421
• Codex CLI፦ 0.130.0
• Atlas፦ 1.2026.119.1

ሰርተፍኬቱን ወዲያውኑ ለምን አልሰረዛችሁትም?

በተጎዳው ኖተራይዜሽን መረጃ የmacOS መተግበሪያዎች ተጨማሪ ኖተራይዜሽን እንዳይደረግ ለማገድ ሰርተናል። ይህ ማለት በተጎዳው ሰርተፍኬት የOpenAI መተግበሪያ መስሎ የሚቀርብ ማንኛውም ሐሰተኛ መተግበሪያ ኖተራይዜሽን አይኖረውም፣ ስለዚህም ተጠቃሚ በግልጽ ሁኔታ እነዚያን ጥበቃዎች ካልተሻገረ በስተቀር በmacOS የደህንነት ጥበቃዎች በነባሪነት ይታገዳል። በቀድሞው ሰርተፍኬት አዲስ ኖተራይዜሽን ስለታገደ፣ እና ስረዛው በቀድሞው ሰርተፍኬት የተፈረሙ መተግበሪያዎች አዲስ ማውረዶችን እና የመጀመሪያ ጊዜ ማስጀመሮችን macOS እንዲያግድ ሊያደርግ ስለሚችል፣ መስተጓጎልን ለመቀነስ ተጠቃሚዎቻችንን እስከ ግንቦት 5 ቀን 2018 ዓ.ም ድረስ እንዲያዘምኑ ጊዜ እየሰጠን ነው። ይህ መስኮት የተጠቃሚ አደጋን ለመቀነስ ይረዳል እና የተጎዱ ደንበኞች በአብሮ በተሰሩ የዝማኔ መንገዶች እንዲያዘምኑ ያስችላል፣ በዚህም በተገቢው ሁኔታ መፍትሄ እንዲያገኙ ያረጋግጣል። ከአጋሮቻችን ጋር በመስራት የመፈረሚያ ሰርተፍኬቱ አላግባብ መጠቀም ምልክቶችን እየተከታተልን ነው፣ እና በዚህ መስኮት ውስጥ ክፉ እንቅስቃሴ ካገኘን የስረዛውን የጊዜ ሰሌዳ እናፋጥናለን።