آثار هجوم سلسلة التوريد لـ Axios: ستتوقف جميع تطبيقات OpenAI القديمة على Mac عن العمل بدءًا من الغد

موقع بي جيه ويب يذكر أن Axios أفاد بأنه بسبب هجوم على سلسلة التوريد، سيتم سحب شهادة توقيع macOS الخاصة بـ OpenAI رسميًا غدًا (8 مايو)، ولن تتمكن النسخ القديمة من ChatGPT Desktop و Codex و Codex CLI و Atlas من التشغيل إذا لم يتم تحديثها.
حدثت هذه الحادثة نتيجة لهجوم على سلسلة التوريد عبر npm في 31 مارس، حيث استخدم المهاجمون حسابات صيانة مسروقة لنشر إصدارين خبيثين (1.14.1 و 0.30.4)، مع حقن اعتماد زائف باسم plain-crypto-js، مما أدى إلى تحميل تروجان الوصول عن بُعد (RAT) عند التثبيت، وتغطية أنظمة macOS و Windows و Linux.
عزت شركة Microsoft هذا الهجوم إلى مجموعة القراصنة الكورية الشمالية Sapphire Sleet.
يعتقد تحليل OpenAI أن الشهادة لم تُسرق بنجاح، ولكن تم استبدال الشهادة والتعاون مع Apple لسد قناة التوثيق للشهادات القديمة.
لم يُكتشف حتى الآن تسرب بيانات المستخدمين أو اختراق الأنظمة، كما أن كلمات المرور ومفاتيح API غير متأثرة.
السبب الجذري هو مشكلة في تكوين سير العمل، حيث تم استخدام علامة إصدار متغيرة بدلاً من تجزئة الالتزام الثابت عند استدعاء الاعتمادات.