OpenAI отзывает сертификат macOS из-за заражённой библиотеки Axios
2 мин
21
OpenAI сообщила о проблеме безопасности в системе автоматической сборки приложений для macOS. 31 марта 2026 года её автоматический скрипт в GitHub Actions скачал заражённую версию популярной библиотеки Axios. Компания заявила, что данные пользователей и внутренние системы не пострадали, но приняла дополнительные меры предосторожности.
Google Threat Intelligence Group 24 марта выявила, что популярная библиотека Axios заражена хакерской группой UNC1069. Злоумышленники получили доступ к учётной записи разработчика и выложили две заражённые версии: 1.14.1 и 0.30.4. В библиотеки была встроена вредоносная программа plain-crypto-js, которая устанавливала бэкдор WAVESHAPER.V2 на компьютеры с Windows, macOS и Linux.
Скрипт OpenAI для автоматической сборки приложений скачал именно заражённую версию Axios 1.14.1. У него был доступ к цифровому сертификату для подписи приложений ChatGPT Desktop, Codex, Codex CLI и Atlas. Анализ показал, что сертификат с высокой долей вероятности не был украден благодаря особенностям работы скрипта и времени запуска вредоносного кода.
Несмотря на это, OpenAI считает сертификат скомпрометированным и отзывает его. С 8 мая 2026 года старые версии всех приложений OpenAI для macOS перестанут обновляться. Приложения со старым сертификатом macOS будет блокировать по умолчанию. Новые версии с обновлённым сертификатом уже вышли: ChatGPT Desktop 1.2026.071, Codex App 26.406.40811, Codex CLI 0.119.0 и Atlas 1.2026.84.2.
OpenAI работает с Apple, чтобы заблокировать на уровне системы все программы, подписанные старым сертификатом. Компания объяснила, что, если хакеры украли сертификат, они могут подписывать им вредоносные программы и выдавать их за настоящее ПО OpenAI. Пользователям необходимо установить обновления до 8 мая.
