OpenAI підтвердила внутрішню атаку на ланцюг поставок зловмисних NPM-пакетів проти TanStack, у результаті чого були інфіковані пристрої двох співробітників, основні дані залишилися незмінними, але внутрішні облікові дані та сертифікати підпису коду були викрадені. Щоб запобігти підробкам додатків, буде проведена ротація сертифікатів, користувачам macOS потрібно оновитися до 12 червня 2026 року, старі сертифікати будуть відкликані. Клієнти iOS/Windows та безпека ключів, оновлення має бути завершене у буферний період.

MeNews

2026-05-22 05:45:52

Генерація анотацій у процесі

ME News Новини, 15 травня (UTC+8), згідно з моніторингом Beating, OpenAI підтвердили, що їхнє внутрішнє середовище зазнало цілеспрямованої атаки через зловмисний пакет NPM у ланцюжку постачання TanStack, двоє співробітників були інфіковані пристроями. Хоча дані користувачів і основний код не постраждали, хакери викрали частину доступних даних до внутрішніх репозиторіїв коду, зокрема сертифікати підпису коду для продуктів iOS, macOS і Windows. Щоб запобігти використанню викрадених сертифікатів для поширення підроблених додатків, OpenAI оголосили про проведення захисної ротації сертифікатів і встановили жорсткий крайній термін оновлення для платформи macOS. Всі користувачі macOS, що використовують ChatGPT на робочому столі, Codex або браузер Atlas, повинні оновити до останньої версії до 12 червня 2026 року, інакше застарілі сертифікати будуть повністю анульовані, а механізми безпеки блокуватимуть запуск і нову установку застарілих додатків. Ця атака трапилася саме під час внутрішнього оновлення безпеки OpenAI. Офіційно компанія зізналася, що раніше вже впроваджувала більш жорсткі стратегії блокування кодових пакетів, але інфіковані пристрої співробітників ще не встигли отримати останні налаштування, що дозволило зловмисним компонентам проникнути всередину. Що стосується наслідків, оскільки системний механізм macOS за замовчуванням блокуватиме нові додатки, підроблені з використанням викрадених сертифікатів, OpenAI вирішили залишити майже місяць для оновлення, щоб уникнути повного розриву зв’язку з користувачами. Наразі клієнти iOS і Windows не постраждали, а дані користувачів, такі як паролі та API-ключі, підтверджено безпечними. (Джерело: BlockBeats)

Переглянути оригінал

Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.

7 лайків

Нагородити
7
9
2
Поділіться

Прокоментувати

Додати коментар

QuietAlphaClerk

· 8год тому

Ці фабрики такого рівня вже зазнали атак з боку ланцюга постачання, а маленькі команди ще більше тремтять від страху.