OpenAI گواهی‌های macOS را پس از حمله زنجیره تامین Axios تغییر می‌دهد

آیریس کولمن 1405/01/26 02:02

OpenAI با تغییر گواهی‌های امضای کد به نقض Axios npm مرتبط با کره شمالی پاسخ می‌دهد. کاربران macOS باید برنامه‌های ChatGPT و Codex را تا 8 می به‌روزرسانی کنند.

OpenAI گواهی‌های macOS را پس از حمله زنجیره تامین Axios تغییر می‌دهد

OpenAI همه کاربران macOS را مجبور به به‌روزرسانی اپلیکیشن دسکتاپ خود می‌کند پس از اینکه گردش کار امضای برنامه شرکت در معرض حمله زنجیره تامین Axios قرار گرفت—نقضی که به بازیگران تهدید کره شمالی نسبت داده می‌شود که کتابخانه محبوب JavaScript را در 1405/01/11 هدف قرار داد.

غول AI می‌گوید هیچ مدرکی مبنی بر دسترسی به داده‌های کاربر یا دستکاری مخرب نرم‌افزارش پیدا نکرده است. اما شرکت ریسک نمی‌کند: گواهی امضای کد macOS خود را به عنوان در معرض خطر در نظر می‌گیرد و آن را به طور کامل در 1405/02/18 لغو می‌کند.

واقعاً چه اتفاقی افتاد

وقتی نسخه در معرض خطر Axios 1.14.1 در 1405/01/11 به npm رسید، یک گردش کار GitHub Actions که OpenAI برای امضای برنامه macOS استفاده می‌کند، کد مخرب را دانلود و اجرا کرد. این گردش کار به گواهی‌هایی دسترسی داشت که برای امضای ChatGPT Desktop، Codex، Codex CLI و Atlas استفاده می‌شد—اعتبارنامه‌هایی که به macOS می‌گویند "بله، این نرم‌افزار واقعاً از OpenAI می‌آید."

علت اصلی؟ پیکربندی نادرست. گردش کار OpenAI به Axios با استفاده از یک برچسب شناور به جای یک هش commit ثابت اشاره می‌کرد و فاقد یک minimumReleaseAge پیکربندی شده برای بسته‌های جدید بود. آسیب‌پذیری کلاسیک زنجیره تامین.

تحلیل داخلی OpenAI نشان می‌دهد که گواهی امضا احتمالاً به دلیل زمان‌بندی و توالی اجرا با موفقیت استخراج نشد. اما "احتمالاً" به اندازه کافی خوب نیست وقتی نرم‌افزاری را امضا می‌کنید که روی میلیون‌ها دستگاه اجرا می‌شود.

حمله گسترده‌تر

نقض Axios به طور خاص OpenAI را هدف قرار نمی‌داد. محققان امنیتی، از جمله تیم اطلاعات تهدید Google، حمله را به یک بازیگر مرتبط با کره شمالی مرتبط کرده‌اند—احتمالاً Sapphire Sleet یا UNC1069. مهاجمان حساب یک نگهدارنده npm را نقض کردند و یک وابستگی مخرب به نام 'plain-crypto-js' تزریق کردند که یک RAT چندپلتفرمی قادر به شناسایی، ماندگاری و خودتخریبی برای جلوگیری از شناسایی را مستقر کرد.

این حمله به سازمان‌ها در بخش‌های خدمات تجاری، خدمات مالی و بخش فناوری در سراسر جهان آسیب رساند.

کاربران چه باید انجام دهند

اگر هر برنامه OpenAI macOS را اجرا می‌کنید، اکنون به‌روزرسانی کنید. پس از 8 می، نسخه‌های قدیمی‌تر به طور کامل متوقف می‌شوند. حداقل نسخه‌های مورد نیاز:

ChatGPT Desktop: 1.2026.051
Codex App: 26.406.40811
Codex CLI: 0.119.0
Atlas: 1.2026.84.2

فقط از منابع رسمی MEXC تایید شده یا از طریق به‌روزرسانی‌های درون‌برنامه‌ای دانلود کنید. OpenAI به صراحت نسبت به نصب هر چیزی از ایمیل‌ها، تبلیغات یا سایت‌های شخص ثالث هشدار می‌دهد—توصیه منطقی با توجه به اینکه یک بازیگر مخرب با گواهی قدیمی می‌تواند به طور نظری برنامه‌های جعلی را امضا کند که مشروع به نظر می‌رسند.

کاربران Windows، iOS، Android و Linux تحت تأثیر قرار نمی‌گیرند. نسخه‌های وب نیز همینطور. رمزهای عبور و کلیدهای API ایمن باقی می‌مانند.

چرا یک دوره 30 روزه؟

OpenAI می‌توانست گواهی را فوراً لغو کند اما این کار را نکرد. گواهی جدید با گواهی در معرض خطر از قبل مسدود شده است، به این معنی که هر برنامه تقلبی که با آن امضا شده باشد در بررسی‌های امنیتی پیش‌فرض macOS شکست می‌خورد مگر اینکه کاربران به صورت دستی آن‌ها را نادیده بگیرند.

این تأخیر به کاربران زمان می‌دهد تا از طریق کانال‌های عادی به‌روزرسانی کنند به جای اینکه با نرم‌افزار خراب بیدار شوند. OpenAI می‌گوید در حال نظارت بر ریسک در زمان واقعی برای هرگونه نشانه‌ای از سوء استفاده از گواهی است و در صورت ظاهر شدن فعالیت مخرب، لغو را تسریع خواهد کرد.

این حادثه تأکید می‌کند که چگونه حملات زنجیره تامین به موج‌زدن در اکوسیستم نرم‌افزار ادامه می‌دهند. یک بسته npm در معرض خطر، و ناگهان OpenAI در حال تغییر گواهی‌ها در کل خط تولید macOS خود است. برای توسعه‌دهندگان، درس واضح است: وابستگی‌های خود را به commitهای خاص متصل کنید، نه برچسب‌های شناور.

منبع تصویر: Shutterstock