Axios供应链攻击后遗症：明天起OpenAI旧版Mac应用全部失效

币界网消息，Axios报道，由于供应链攻击，OpenAI的macOS签名证书将于明天（5月8日）正式吊销，届时未更新的ChatGPT Desktop、Codex、Codex CLI和Atlas旧版将无法启动。此次事件源于3月31日的npm供应链攻击，攻击者用窃取的维护者账号发布了两个恶意版本（1.14.1和0.30.4），注入了假依赖plain-crypto-js，导致安装时下载远程访问木马（RAT），覆盖macOS、Windows和Linux平台。微软将此次攻击归因于朝鲜黑客组织Sapphire Sleet。OpenAI分析认为证书未被成功窃取，但已轮换证书并与Apple合作封堵旧证书的公证通道。目前未发现用户数据泄露或系统入侵，密码和API Key也不受影响。根因是工作流配置问题，引用依赖时使用了浮动版本标签而非固定commit hash。