OpenAI: TanStack npm támadás miatt kell frissíteni a macOS appokat június 12-ig
Felhasználói adatok nem sérültek, de óvintézkedésként új aláíró tanúsítványokat vezetnek be a macOS alkalmazásokhoz.
Az OpenAI egy széles körben használt nyílt forráskódú könyvtár, a TanStack npm elleni támadást azonosított, amely a „Mini Shai-Hulud” néven ismert szélesebb körű ellátási lánc elleni támadás része — közölte az OpenAI.
A támadás május 11-én, UTC idő szerint történt, és két alkalmazotti eszközüket érintette a vállalati környezetben. A rosszindulatú tevékenység észlelése után az OpenAI azonnal vizsgálatot indított, és lépéseket tett rendszereik védelmére, külső digitális törvényszéki és incidensreagálási céget is bevontak.
A vizsgálat során a rosszindulatú szoftver nyilvánosan leírt viselkedésével összhangban álló tevékenységet figyeltek meg, beleértve az illetéktelen hozzáférést és a hitelesítő adatokra fókuszáló adatszivárogtatást az érintett alkalmazottak által hozzáférhető belső forráskód-tárolók korlátozott részhalmazában. Megerősítették, hogy csak korlátozott hitelesítő adatokat sikerült kiszivárogtatni ezekből a kódtárolókból, és más információ vagy kód nem sérült.
Az incidens következtében az OpenAI termékeinek, beleértve az iOS, macOS és Windows alkalmazások aláíró tanúsítványait is érintette. Ennek eredményeként elővigyázatosságból rotálják a kódaláíró tanúsítványokat, ami szükségessé teszi a macOS felhasználók számára az alkalmazások frissítését. A Windows és iOS alkalmazások felhasználóinak nem kell semmilyen intézkedést tenniük. Az OpenAI június 12-én, 2026-ban teljesen visszavonja a régi tanúsítványt, így az ezzel aláírt alkalmazások új letöltéseit és indításait a macOS biztonsági védelme blokkolja.