Инцидент с външна библиотека поставя под риск процеса по подписване на приложения

OpenAI разкрива уязвимост, свързана с външната библиотека Axios, която е засегнала процеса по удостоверяване на нейните приложения за macOS. Проблемът произтича от компрометирана версия на библиотеката, използвана в автоматизиран работен процес.

От компанията подчертават, че няма доказателства за изтичане на потребителски данни, компрометиране на вътрешни системи или промяна в самия софтуер.

Какво точно се е случило

На 31 март 2026 г. библиотеката Axios става част от по-мащабна атака по веригата за доставки на софтуер. В този контекст, автоматизиран процес чрез GitHub Actions е изтеглил злонамерена версия на библиотеката.

Този процес е имал достъп до дигитален сертификат, използван за подписване на приложения като десктоп версиите на ChatGPT и Codex. Именно този сертификат гарантира, че софтуерът идва от легитимен източник.

Въпреки че анализът показва, че сертификатът вероятно не е бил източен успешно, OpenAI го третира като компрометиран – стандартна практика при подобни инциденти.

Рискът – фалшиви приложения с легитимен подпис

При евентуална злоупотреба, атакуващи биха могли да подписват зловреден код с компрометирания сертификат, представяйки го като официален софтуер на OpenAI. Това създава сериозен риск за потребителите, особено при инсталиране на приложения извън официални канали.

Предприети мерки за сигурност

Компанията вече е предприела конкретни действия:

• подмяна на компрометирания сертификат
• спиране на използването на стария сертификат за нови приложения
• блокиране на неоторизирани приложения чрез защитите на macOS
• коригиране на конфигурационния проблем в автоматизирания процес

Важно е да се отбележи, че нов софтуер, подписан със стария сертификат от неоторизирани страни, ще бъде блокиран по подразбиране от системите за сигурност на macOS, освен ако потребителят не заобиколи защитите ръчно.

Какво означава това за потребителите

Всички потребители на macOS трябва да актуализират своите приложения на OpenAI до най-новите версии. По-старите версии:

• няма да получават обновления
• могат да спрат да функционират след 8 май 2026 г.

От OpenAI уточняват, че:

• пароли и API ключове не са засегнати
• уеб версиите на услугите не са компрометирани
• инцидентът засяга единствено macOS приложенията

Aтаки по веригата за доставки

Случаят е пореден пример за нарастващия риск от атаки по веригата за доставки – метод, при който се компрометират външни компоненти, използвани от множество организации. Този тип атаки са особено опасни, тъй като често засягат доверени зависимости и автоматизирани процеси.

Инцидентът подчертава значението на строг контрол върху CI/CD средите, внимателно управление на зависимости и защита на криптографските сертификати.