币界网のニュースによると、Axiosの報道によると、サプライチェーン攻撃のため、OpenAIのmacOS署名証明書は明日(5月8日)に正式に失効される予定であり、その時点で更新されていないChatGPT Desktop、Codex、Codex CLI、Atlasの旧バージョンは起動できなくなる。今回の事件は3月31日のnpmサプライチェーン攻撃に起因し、攻撃者は盗まれたメンテナアカウントを使って2つの悪意のあるバージョン(1.14.1と0.30.4)を公開し、偽の依存関係plain-crypto-jsを注入し、インストール時にリモートアクセス型トロイの木馬(RAT)をダウンロードさせ、macOS、Windows、Linuxプラットフォームを上書きした。マイクロソフトはこの攻撃を北朝鮮のハッカー組織Sapphire Sleetに起因するとしている。OpenAIの分析では、証明書は成功裏に盗まれなかったと考えられるが、証明書をローテーションし、Appleと協力して古い証明書の公証チャネルを封鎖した。現時点でユーザーデータの漏洩やシステム侵入は確認されておらず、パスワードやAPIキーも影響を受けていない。根本原因はワークフローの設定問題であり、依存関係を引用する際に固定されたコミットハッシュではなく浮動バージョンタグを使用したことにある。
Axiosサプライチェーン攻撃の余波:明日からOpenAI旧版Macアプリすべてが機能しなくなる
币界网のニュースによると、Axiosの報道によると、サプライチェーン攻撃のため、OpenAIのmacOS署名証明書は明日(5月8日)に正式に失効される予定であり、その時点で更新されていないChatGPT Desktop、Codex、Codex CLI、Atlasの旧バージョンは起動できなくなる。今回の事件は3月31日のnpmサプライチェーン攻撃に起因し、攻撃者は盗まれたメンテナアカウントを使って2つの悪意のあるバージョン(1.14.1と0.30.4)を公開し、偽の依存関係plain-crypto-jsを注入し、インストール時にリモートアクセス型トロイの木馬(RAT)をダウンロードさせ、macOS、Windows、Linuxプラットフォームを上書きした。マイクロソフトはこの攻撃を北朝鮮のハッカー組織Sapphire Sleetに起因するとしている。OpenAIの分析では、証明書は成功裏に盗まれなかったと考えられるが、証明書をローテーションし、Appleと協力して古い証明書の公証チャネルを封鎖した。現時点でユーザーデータの漏洩やシステム侵入は確認されておらず、パスワードやAPIキーも影響を受けていない。根本原因はワークフローの設定問題であり、依存関係を引用する際に固定されたコミットハッシュではなく浮動バージョンタグを使用したことにある。