OpenAI сообщила о проблеме безопасности со сторонней библиотекой и призвала обновить приложения на macOS

Компания OpenAI сообщила о проблеме безопасности, связанной со сторонней библиотекой Axios, и усилила защиту процессов, подтверждающих подлинность ее приложений для macOS. Компания заявила, что не обнаружила признаков доступа к данным пользователей, нарушения систем или изменения программного обеспечения. Об этом сообщает Reuters, пишет УНН.

Подробности

По данным компании, 31 марта библиотека Axios была скомпрометирована в рамках атаки на цепочку поставок программного обеспечения, которую OpenAI связывает с группами, предположительно связанными с Северной Кореей.

Инцидент повлек за собой запуск вредоносного рабочего процесса GitHub Actions, который имел доступ к сертификатам, используемым для подписи программ macOS, включая ChatGPT Desktop, Codex, Codex-cli и Atlas.

Последствия и рекомендации

Анализ показал, что сертификат подписи, скорее всего, не был извлечен вредоносным кодом. Пароли и ключи API не пострадали. OpenAI устранила неправильную конфигурацию в GitHub Actions и обновляет сертификаты безопасности.

Компания призвала пользователей macOS обновить приложения до последних версий, предупредив, что с 8 мая старые версии настольных программ больше не будут поддерживаться и могут перестать работать.