OpenAI Rotește Certificatele macOS După Atacul pe Lanțul de Aprovizionare Axios
Iris Coleman 15 apr. 2026 02:02
OpenAI răspunde la compromiterea Axios npm legată de Coreea de Nord prin rotirea certificatelor de semnare a codului. Utilizatorii macOS trebuie să actualizeze aplicațiile ChatGPT, Codex până pe 8 mai.
OpenAI obligă toți utilizatorii macOS să-și actualizeze aplicațiile desktop după ce fluxul de lucru de semnare a aplicațiilor companiei a fost expus atacului pe lanțul de aprovizionare Axios—o compromitere atribuită actorilor de amenințare nord-coreeni care a lovit populara bibliotecă JavaScript pe 31 martie 2026.
Gigantul AI spune că nu a găsit nicio dovadă că datele utilizatorilor au fost accesate sau că software-ul său a fost alterat. Dar compania nu riscă: tratează certificatul de semnare a codului macOS ca fiind compromis și îl revocă în întregime pe 8 mai 2026.
Ce S-a Întâmplat de Fapt
Când versiunea compromisă Axios 1.14.1 a ajuns pe npm pe 31 martie, un flux de lucru GitHub Actions pe care OpenAI îl folosește pentru semnarea aplicațiilor macOS a descărcat și executat codul rău intenționat. Acel flux de lucru avea acces la certificatele folosite pentru a semna ChatGPT Desktop, Codex, Codex CLI și Atlas—acreditările care îi spun macOS „da, acest software provine cu adevărat de la OpenAI."
Cauza principală? O configurare greșită. Fluxul de lucru al OpenAI a referențiat Axios folosind o etichetă flotantă în loc de un hash de commit fixat și nu avea configurat minimumReleaseAge pentru pachetele noi. Vulnerabilitate clasică a lanțului de aprovizionare.
Analiza internă a OpenAI sugerează că certificatul de semnare probabil nu a fost exfiltrat cu succes din cauza temporizării și secvențierii execuției. Dar „probabil" nu este suficient de bun când semnezi software care rulează pe milioane de mașini.
Atacul Mai Larg
Compromiterea Axios nu viza OpenAI în mod specific. Cercetătorii în securitate, inclusiv echipa de informații despre amenințări a Google, au legat atacul de un actor legat de Coreea de Nord—posibil Sapphire Sleet sau UNC1069. Atacatorii au compromis contul unui maintainer npm și au injectat o dependență rău intenționată numită 'plain-crypto-js' care a implementat un RAT cross-platform capabil de recunoaștere, persistență și autodistrugere pentru a evita detectarea.
Atacul a lovit organizații din servicii de afaceri, servicii financiare și sectoare tehnologice la nivel global.
Ce Trebuie Să Facă Utilizatorii
Dacă rulați orice aplicații OpenAI macOS, actualizați acum. După 8 mai, versiunile mai vechi vor înceta să funcționeze în întregime. Versiuni minime necesare:
- ChatGPT Desktop: 1.2026.051
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
Descărcați doar din surse oficiale sau prin actualizări în aplicație. OpenAI avertizează în mod explicit împotriva instalării oricărui lucru din e-mailuri, reclame sau site-uri terțe—un sfat înțelept având în vedere că un actor rău intenționat cu vechiul certificat ar putea teoretic semna aplicații false care arată legitime.
Utilizatorii Windows, iOS, Android și Linux nu sunt afectați. Nici versiunile web. Parolele și cheile API rămân sigure.
De Ce Fereastra de 30 de Zile?
OpenAI ar putea revoca certificatul imediat, dar a ales să nu o facă. Notarizarea nouă cu certificatul compromis este deja blocată, ceea ce înseamnă că orice aplicație frauduloasă semnată cu acesta ar eșua verificările de securitate implicite ale macOS, cu excepția cazului în care utilizatorii le depășesc manual.
Întârzierea le oferă utilizatorilor timp să se actualizeze prin canale normale în loc să se trezească cu software defect. OpenAI spune că monitorizează pentru orice semne de utilizare greșită a certificatului și va accelera revocarea dacă apare activitate rău intenționată.
Incidentul subliniază modul în care atacurile pe lanțul de aprovizionare continuă să se răspândească prin ecosistemul software. Un pachet npm compromis și, dintr-o dată, OpenAI rotește certificatele pe întreaga sa linie de produse macOS. Pentru dezvoltatori, lecția este clară: fixați dependențele dvs. la commit-uri specifice, nu etichete flotante.
Sursa imaginii: Shutterstock- openai
- atac pe lanțul de aprovizionare
- securitate cibernetică
- axios
- macos
