آثار هجمات سلسلة التوريد على Axios: ستتوقف جميع تطبيقات OpenAI القديمة على Mac عن العمل بدءًا من الغد

وفقًا لمراقبة Beating، سيتم سحب توقيع شهادة OpenAI على macOS رسميًا غدًا (8 مايو). في ذلك الوقت، لن تتمكن إصدارات ChatGPT Desktop و Codex و Codex CLI و Atlas القديمة غير المحدثة من التشغيل، ولن تتلقى تحديثات بعد الآن. حان الوقت الآن لتحديث إصدار Mac، سواء من خلال التحديث داخل التطبيق أو عبر تنزيله من الموقع الرسمي لـ OpenAI.

الحدث نجم عن هجوم على سلسلة التوريد npm في 31 مارس. تم استغلال Axios، مكتبة JavaScript لواجهة برمجة التطبيقات تُحمل أكثر من 70 مليون مرة أسبوعيًا، من قبل المهاجمين لنشر نسختين خبيثتين (1.14.1 و 0.30.4) باستخدام حسابات الصيانة المسروقة. تم حقن النسخ الخبيثة اعتمادًا زائفًا يُسمى plain-crypto-js، والذي يقوم تلقائيًا بتنزيل حصان طروادة عن بُعد (RAT) عند التثبيت، ويؤثر على أنظمة macOS و Windows و Linux. عزت شركة Microsoft هذا الهجوم إلى مجموعة القراصنة الكورية الشمالية Sapphire Sleet.

عند بناء تطبيقات macOS، قام سير عمل GitHub Actions الخاص بـ OpenAI تلقائيًا بسحب النسخ الخبيثة، وكان هذا السير عمل يمكنه الوصول إلى شهادة توقيع التطبيق. تحلل OpenAI أن الشهادة على الأرجح لم تُسرق بنجاح، ولكن كإجراء احترازي، تم استبدال الشهادة والتعاون مع Apple لسد قناة التوثيق الخاصة بالشهادات القديمة. حتى الآن، لم يتم العثور على أدلة على تسرب بيانات المستخدمين، أو اختراق الأنظمة، أو تعديل البرمجيات، كما أن كلمات المرور ومفاتيح API غير متأثرة.

السبب الجذري هو مشكلة في تكوين سير العمل: عند استدعاء الاعتمادات، تم استخدام علامة إصدار عائمة بدلاً من تجزئة الالتزام الثابتة، ولم يتم تعيين minimumReleaseAge (فترة التبريد بعد إصدار الحزمة الجديدة)، مما أدى إلى أن النسخ الخبيثة تم سحبها تلقائيًا عند إصدارها.