OpenAI підтвердила внутрішню атаку на ланцюг поставок зловмисних NPM-пакетів проти TanStack, у результаті чого були інфіковані пристрої двох співробітників, основні дані залишилися незмінними, але внутрішні облікові дані та сертифікати підпису коду були викрадені. Щоб запобігти підробкам додатків, буде проведена ротація сертифікатів, користувачам macOS потрібно оновитися до 12 червня 2026 року, старі сертифікати будуть відкликані. Клієнти iOS/Windows та безпека ключів, оновлення має бути завершене протягом буферного періоду.

MeNews

2026-05-21 23:30:22

Генерація анотацій у процесі

ME News Новини, 15 травня (UTC+8), згідно з моніторингом Beating, OpenAI підтвердили, що їхнє внутрішнє середовище зазнало цілеспрямованої атаки через зловмисний ланцюг поставок NPM-пакетів, спричинену зловмисниками, які інфікували пристрої двох співробітників. Хоча дані користувачів і основний код не були пошкоджені, хакери викрали частину доступних даних до внутрішніх репозиторіїв коду, зокрема сертифікати підпису коду для продуктів iOS, macOS і Windows. Щоб запобігти використанню викрадених сертифікатів для поширення підроблених додатків, OpenAI оголосили про проведення захисної ротації сертифікатів і встановили жорсткий крайній термін оновлення для платформи macOS. Всі користувачі macOS, що використовують настільну версію ChatGPT, Codex або браузер Atlas, повинні оновитися до останньої версії до 12 червня 2026 року, інакше застарілі сертифікати будуть повністю анульовані, а механізми безпеки блокуватимуть запуск і нову установку застарілих додатків. Ця атака сталася саме під час внутрішнього оновлення безпеки OpenAI. Офіційно компанія зізналася, що раніше вже впроваджувала більш жорсткі стратегії блокування кодових пакетів, але інфіковані пристрої двох співробітників ще не отримали останніх налаштувань, що дозволило зловмисникам скористатися цією вразливістю. Що стосується наслідків, то через те, що системні механізми macOS за замовчуванням блокують нові додатки, підроблені з використанням викрадених сертифікатів, OpenAI вирішили залишити майже місяць для оновлення, щоб уникнути негайного анулювання сертифікатів і повного розриву зв’язку з користувачами. Наразі клієнти iOS і Windows не зазнали впливу, а основні дані, такі як облікові записи, паролі та API-ключі, підтверджено безпечними. (Джерело: BlockBeats)

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

9 лайків

Нагородити
9
5
9
Поділіться

Прокоментувати

Додати коментар

GasFeeGrump

· 10хв. тому

Чи достатньо двох пристроїв для крадіжки підписного сертифіката, і наскільки добре реалізовано ізоляцію внутрішньої мережі?