OpenAI оголосила про відкликання сертифікатів підпису для своїх застосунків під macOS після виявлення масштабної кібератаки, яка стала можливою через уразливість у популярній бібліотеці Axios. Це рішення ухвалено для підвищення безпеки користувачів після того, як зловмисники отримали контроль над npm-пакетом Axios і впровадили шкідливу залежність plain-crypto-js, що розповсюджувала бекдор WAVESHAPER.V2 на різних операційних системах, включаючи Windows, macOS та Linux.
Про це розповідає KURAZH
Як зловмисники скомпрометували ланцюжок постачання
За інформацією Google Threat Intelligence Group, за атакою стоїть північнокорейське угруповання UNC1069. Вразливість була використана через GitHub Actions одного з процесів OpenAI, який відповідав за підпис macOS-застосунків. У цьому процесі була використана заражена версія Axios (1.14.1), що надала зловмисникам доступ до критичних сертифікатів для застосунків ChatGPT Desktop, Codex, Codex CLI та Atlas. Хоча внутрішня перевірка не виявила крадіжки самих сертифікатів, компанія вирішила попередити ризики й анулювати їх.
“Наразі немає ознак того, що дані користувачів або внутрішні системи були скомпрометовані. Проте старий сертифікат тепер вважається потенційно небезпечним. Його вже анулювали та замінили новим”.
Відтепер старі версії програм OpenAI для macOS не отримуватимуть оновлень і підтримки, починаючи з 8 травня 2026 року. Крім того, macOS блокуватиме запуск таких застосунків, якщо вони підписані скомпрометованим ключем.
Масштаб проблеми та рекомендації для користувачів
Інцидент із Axios — лише частина глобальної тенденції атак через залежності у відкритому коді. Схожі атаки були зафіксовані й щодо інфраструктури сканера вразливостей Trivy, що свідчить про уразливість CI/CD-процесів і можливість доступу до секретних облікових даних багатьох компаній по всьому світу. Експерти підкреслюють, що довіра до сторонніх бібліотек часто стає слабкою ланкою сучасної розробки програмного забезпечення.
Користувачам macOS-версій ChatGPT та інших інструментів OpenAI наполегливо радять оновити програми до останніх версій упродовж наступних 30 днів. Компанія вже співпрацює з Apple для мінімізації ризиків безпеки. Цей випадок ще раз доводить, що безпека в цифрову епоху — це постійний процес і жоден елемент коду не можна вважати безумовно захищеним.
Слід зазначити, що подібні інциденти часто виникають не лише через вразливі бібліотеки, а й через масштабні витоки даних, як це сталося під час відомого китайського витоку, коли обсяги викраденої інформації сягнули петабайтів.
