OpenAI сообщила, что один из ее внутренних инструментов загрузил обновление из зараженной легитимной библиотеки программного обеспечения с открытым исходным кодом. Компания предупредила об отзыве сертификатов и заявила, что в качестве меры предосторожности прекратит поддержку старых версий своих приложений для macOS с 8 мая.
По данным OpenAI, инцидент мог позволить хакерам похитить сертификат, который можно использовать для маскировки под лицензированный продукт в поддельных приложениях OpenAI. При этом компания заявила, что не зафиксировала случаев такого использования.
Как уточнили в OpenAI, 31 марта рабочий процесс GitHub, который применялся для подписи сертификатов приложений macOS, загрузил вредоносное обновление из библиотеки Axios. В тот же день злоумышленники, получив доступ к аккаунту разработчика, опубликовали в Axios два зараженных обновления до того, как это было обнаружено.
Axios — широко используемая библиотека JavaScript для выполнения HTTP-запросов.
В компании отметили, что потенциально инцидент мог затронуть пользователей приложений для macOS, включая ChatGPT, Atlas и Codex. Доступ к системе подписи сертификатов также теоретически мог дать злоумышленникам возможность создавать поддельные приложения OpenAI с легитимным сертификатом, способным обмануть устройства и App Store.
OpenAI заявила, что не обнаружила доказательств компрометации пользовательских данных, интеллектуальной собственности или внутренних систем. Также, по информации компании, нет признаков того, что проблема затронула приложения для iOS, Android, Windows или других платформ.
Пользователям старых версий приложений для macOS дали 30 дней на обновление. После отзыва сертификата новые загрузки и первоначальный запуск таких версий могут быть заблокированы.
Источник информации: tengrinews.kz
