Η OpenAI Ανανεώνει τα Πιστοποιητικά macOS Μετά την Επίθεση στην Εφοδιαστική Αλυσίδα του Axios

Iris Coleman 15 Απρ 2026 02:02

Η OpenAI ανταποκρίνεται στον συμβιβασμό του Axios npm που συνδέεται με τη Βόρεια Κορέα, ανανεώνοντας τα πιστοποιητικά υπογραφής κώδικα. Οι χρήστες macOS πρέπει να ενημερώσουν τις εφαρμογές ChatGPT και Codex έως τις 8 Μαΐου.

Η OpenAI υποχρεώνει όλους τους χρήστες macOS να ενημερώσουν τις εφαρμογές επιφάνειας εργασίας τους αφού η ροή εργασίας υπογραφής εφαρμογών της εταιρείας εκτέθηκε στην επίθεση της εφοδιαστικής αλυσίδας Axios—έναν συμβιβασμό που αποδίδεται σε βορειοκορεατικούς φορείς απειλών που έπληξε τη δημοφιλή βιβλιοθήκη JavaScript στις 31 Μαρτίου 2026.

Ο γίγαντας της τεχνητής νοημοσύνης δηλώνει ότι δεν βρέθηκαν αποδείξεις πρόσβασης σε δεδομένα χρηστών ή παραποίησης του λογισμικού του. Αλλά η εταιρεία δεν διακινδυνεύει: αντιμετωπίζει το πιστοποιητικό υπογραφής κώδικα macOS ως συμβιβασμένο και το ανακαλεί εξ ολοκλήρου στις 8 Μαΐου 2026.

Τι Συνέβη Πραγματικά

Όταν η συμβιβασμένη έκδοση Axios 1.14.1 κυκλοφόρησε στο npm στις 31 Μαρτίου, μια ροή εργασίας GitHub Actions που χρησιμοποιεί η OpenAI για την υπογραφή εφαρμογών macOS κατέβασε και εκτέλεσε τον κακόβουλο κώδικα. Αυτή η ροή εργασίας είχε πρόσβαση σε πιστοποιητικά που χρησιμοποιούνται για την υπογραφή των ChatGPT Desktop, Codex, Codex CLI και Atlas—τα διαπιστευτήρια που λένε στο macOS "ναι, αυτό το λογισμικό προέρχεται πραγματικά από την OpenAI."

Η βασική αιτία; Μια εσφαλμένη διαμόρφωση. Η ροή εργασίας της OpenAI αναφερόταν στο Axios χρησιμοποιώντας μια κυμαινόμενη ετικέτα αντί για ένα καρφιτσωμένο hash commit, και στερούνταν διαμορφωμένου minimumReleaseAge για νέα πακέτα. Κλασική ευπάθεια εφοδιαστικής αλυσίδας.

Η εσωτερική ανάλυση της OpenAI υποδηλώνει ότι το πιστοποιητικό υπογραφής πιθανότατα δεν εξαχθηκε επιτυχώς λόγω χρονισμού και ακολουθίας εκτέλεσης. Αλλά το "πιθανότατα" δεν είναι αρκετό όταν υπογράφεις λογισμικό που τρέχει σε εκατομμύρια μηχανήματα.

Η Ευρύτερη Επίθεση

Ο συμβιβασμός του Axios δεν στόχευε συγκεκριμένα την OpenAI. Ερευνητές ασφαλείας, συμπεριλαμβανομένης της ομάδας πληροφοριών απειλών της Google, έχουν συνδέσει την επίθεση με έναν φορέα συνδεδεμένο με τη Βόρεια Κορέα—πιθανώς το Sapphire Sleet ή το UNC1069. Οι επιτιθέμενοι συμβίβασαν τον λογαριασμό ενός συντηρητή npm και ένεσαν μια κακόβουλη εξάρτηση με το όνομα 'plain-crypto-js' που ανέπτυξε ένα διαπλατφορμικό RAT ικανό για αναγνώριση, επιμονή και αυτοκαταστροφή για να αποφύγει τον εντοπισμό.

Η επίθεση έπληξε οργανισμούς σε επιχειρηματικές υπηρεσίες, χρηματοοικονομικές υπηρεσίες και τομείς τεχνολογίας παγκοσμίως.

Τι Πρέπει να Κάνουν οι Χρήστες

Εάν εκτελείτε οποιεσδήποτε εφαρμογές OpenAI για macOS, ενημερώστε τώρα. Μετά τις 8 Μαΐου, οι παλαιότερες εκδόσεις θα σταματήσουν να λειτουργούν εντελώς. Ελάχιστες απαιτούμενες εκδόσεις:

• ChatGPT Desktop: 1.2026.051
• Codex App: 26.406.40811
• Codex CLI: 0.119.0
• Atlas: 1.2026.84.2

Κατεβάστε μόνο από επίσημες πηγές ή μέσω ενημερώσεων εντός εφαρμογής. Η OpenAI προειδοποιεί ρητά να μην εγκαθιστάτε τίποτα από email, διαφημίσεις ή ιστότοπους τρίτων—σωστή συμβουλή δεδομένου ότι ένας κακόβουλος φορέας με το παλιό πιστοποιητικό θα μπορούσε θεωρητικά να υπογράψει ψεύτικες εφαρμογές που φαίνονται νόμιμες.

Οι χρήστες Windows, iOS, Android και Linux δεν επηρεάζονται. Ούτε οι εκδόσεις ιστού. Οι κωδικοί πρόσβασης και τα κλειδιά API παραμένουν ασφαλή.

Γιατί το Παράθυρο των 30 Ημερών;

Η OpenAI θα μπορούσε να ανακαλέσει το πιστοποιητικό άμεσα αλλά επέλεξε να μην το κάνει. Η νέα επικύρωση με το συμβιβασμένο πιστοποιητικό είναι ήδη αποκλεισμένη, που σημαίνει ότι οποιαδήποτε δόλια εφαρμογή υπογραφεί με αυτό θα αποτύχει στους προεπιλεγμένους ελέγχους ασφαλείας του macOS εκτός εάν οι χρήστες τους παρακάμψουν χειροκίνητα.

Η καθυστέρηση δίνει στους χρήστες χρόνο να ενημερώσουν μέσω κανονικών καναλιών αντί να ξυπνήσουν σε χαλασμένο λογισμικό. Η OpenAI λέει ότι παρακολουθεί για τυχόν ενδείξεις κακής χρήσης του πιστοποιητικού και θα επιταχύνει την ανάκληση εάν εμφανιστεί κακόβουλη δραστηριότητα.

Το περιστατικό υπογραμμίζει πώς οι επιθέσεις στην εφοδιαστική αλυσίδα συνεχίζουν να διαδίδονται στο οικοσύστημα λογισμικού. Ένα συμβιβασμένο πακέτο npm, και ξαφνικά η OpenAI ανανεώνει πιστοποιητικά σε ολόκληρη τη γραμμή προϊόντων macOS της. Για τους προγραμματιστές, το μάθημα είναι σαφές: καρφιτσώστε τις εξαρτήσεις σας σε συγκεκριμένα commits, όχι σε κυμαινόμενες ετικέτες.

• openai
• επίθεση εφοδιαστικής αλυσίδας
• κυβερνοασφάλεια
• axios
• macos