Заразили вирусом библиотеку OpenAI. Компания предупредила об отзыве сертификатов
Компания OpenAI сообщила, что выявила проблему безопасности, связанную с компрометацией стороннего инструмента Axios, использовавшегося в процессе подписи macOS-приложений. В компании заявили, что не нашли доказательств компрометации пользовательских данных, внутренних систем, интеллектуальной собственности или изменения своего программного обеспечения.
Как говорится в официальном сообщении OpenAI, 31 марта GitHub Actions workflow, применявшийся для подписи macOS-приложений, загрузил и выполнил вредоносную версию библиотеки Axios 1.14.1. Этот workflow имел доступ к сертификату и материалам нотарификации, используемым для подписи ChatGPT Desktop, Codex App, Codex CLI и Atlas.
В OpenAI отметили, что, по результатам анализа сертификат, вероятно, не был успешно похищен из-за особенностей исполнения вредоносной нагрузки и дополнительных защитных факторов. Тем не менее компания решила считать его потенциально скомпрометированным и начала процедуру его отзыва и замены.
В компании пояснили, что в теории доступ к такому сертификату мог бы позволить злоумышленникам подписывать поддельные приложения, выдавая их за легитимные продукты OpenAI. При этом OpenAI отдельно заявила, что не обнаружила признаков использования сертификата для подписания вредоносного ПО от ее имени.
Из соображений предосторожности OpenAI обновляет сертификаты безопасности и требует, чтобы все пользователи macOS обновили приложения до последних версий. Компания уточнила, что инцидент касается только приложений для macOS и не затронул iOS, Android, Linux, Windows и веб-версии сервисов.
С 8 мая старые версии macOS-приложений OpenAI перестанут получать обновления и поддержку, а также могут перестать работать. Компания предупредила, что после полного отзыва прежнего сертификата новые загрузки и первый запуск приложений, подписанных старым сертификатом, будут блокироваться системами защиты macOS.
