💥ChatGPT/Codex等多款软件受Axios供应链攻击影响 用户需立即升级
💥安全提醒:OpenAI 也受 Axios 供应链攻击影响,可能泄露 macOS 签名证书,所以现在 OpenAI 正在替换证书。受影响的应用包括 ChatGPT、Codex、Codex-CLI 和 Atlas 浏览器,用户需在 5 月 8 日前将以上软件升级到最新版,否则将无法启动。查看详情:https://ourl.co/112608
此前知名开源软件库 @Axios 遭到黑客攻击,黑客劫持开发者账号并发布恶意版本,这件事还是发生在 3 月末,但没想到这时候 OpenAI 跳出来说 ChatGPT、Codex、Codex-CLI、Atlas 浏览器等软件也同样受到影响。
目前没有证据表明用户数据可能被窃取,但 OpenAI 的开发者证书可能会被黑客窃取,所以现在 OpenAI 吊销旧开发者证书,全部替换为新证书,因此用户需要下载更新到各个软件最新版。
最新情况:
在供应链攻击发生时,OpenAI 在 macOS 应用签名流程中使用 GitHub Actions 工作流中下载并执行 @Axios 恶意版本(1.14.1 版),这使得攻击者可以访问 OpenAI 的应用签名证书和公证材料。
经过分析后 OpenAI 得出结论:由于恶意载荷的执行时间、证书注入工作流的方式、工作流本身的执行顺序以及其他因素,签名证书可能未被窃取。
但基于安全考虑,OpenAI 仍然将证书视为已经泄露,所以要吊销所有旧版应用签名证书,同时申请新证书并对所有应用程序签名进行替换。
潜在安全影响:
OpenAI 称,如果攻击者成功窃取签名证书,则可以用来分发看起来像是真实的、但可能包含恶意代码的后门版本。
作为过渡,OpenAI 将在 2026 年 5 月 8 日吊销旧签名证书,到时候 macOS 平台的 OpenAI 软件都将无法正常启动,所以建议用户立即升级到最新版。
下面是升级后的版本:
目前没有证据表明用户数据可能被窃取,但 OpenAI 的开发者证书可能会被黑客窃取,所以现在 OpenAI 吊销旧开发者证书,全部替换为新证书,因此用户需要下载更新到各个软件最新版。
最新情况:
在供应链攻击发生时,OpenAI 在 macOS 应用签名流程中使用 GitHub Actions 工作流中下载并执行 @Axios 恶意版本(1.14.1 版),这使得攻击者可以访问 OpenAI 的应用签名证书和公证材料。
经过分析后 OpenAI 得出结论:由于恶意载荷的执行时间、证书注入工作流的方式、工作流本身的执行顺序以及其他因素,签名证书可能未被窃取。
但基于安全考虑,OpenAI 仍然将证书视为已经泄露,所以要吊销所有旧版应用签名证书,同时申请新证书并对所有应用程序签名进行替换。
潜在安全影响:
OpenAI 称,如果攻击者成功窃取签名证书,则可以用来分发看起来像是真实的、但可能包含恶意代码的后门版本。
作为过渡,OpenAI 将在 2026 年 5 月 8 日吊销旧签名证书,到时候 macOS 平台的 OpenAI 软件都将无法正常启动,所以建议用户立即升级到最新版。
下面是升级后的版本:
关于作者
评论0次