Dampak serangan rantai pasokan Axios: Mulai besok semua aplikasi Mac versi lama OpenAI akan berhenti berfungsi

Menurut pemantauan Beating, sertifikat penandatanganan macOS OpenAI akan resmi dicabut besok (8 Mei). Pada saat itu, versi lama ChatGPT Desktop, Codex, Codex CLI, dan Atlas yang belum diperbarui tidak akan bisa dijalankan lagi dan tidak akan menerima pembaruan. Sekarang saatnya memperbarui versi Mac, baik melalui pembaruan dalam aplikasi maupun mengunduh dari situs resmi OpenAI.

Masalah ini berawal dari serangan rantai pasokan npm pada 31 Maret. Axios, sebuah perpustakaan HTTP JavaScript yang diunduh lebih dari 70 juta kali per minggu, digunakan oleh penyerang untuk merilis dua versi berbahaya (1.14.1 dan 0.30.4) dengan menggunakan akun pemelihara yang dicuri. Versi berbahaya ini menyisipkan dependensi palsu bernama plain-crypto-js, yang secara otomatis mengunduh backdoor akses jarak jauh (RAT) saat diinstal, menimpa platform macOS, Windows, dan Linux. Microsoft menyatakan serangan ini dikaitkan dengan kelompok peretas Korea Utara, Sapphire Sleet.

Workflow GitHub Actions OpenAI secara otomatis menarik versi berbahaya saat membangun aplikasi macOS, dan workflow ini memiliki akses ke sertifikat penandatanganan aplikasi. Analisis OpenAI menunjukkan kemungkinan besar sertifikat tersebut tidak berhasil dicuri, tetapi sebagai langkah pencegahan, sertifikat telah diganti dan bekerja sama dengan Apple untuk menutup saluran notaris sertifikat lama. Saat ini tidak ditemukan bukti kebocoran data pengguna, intrusi sistem, atau modifikasi perangkat lunak, dan kata sandi serta API key juga tidak terpengaruh.

Akar penyebabnya adalah masalah konfigurasi workflow: dependensi yang dirujuk menggunakan tag versi mengambang alih-alih hash commit tetap, dan tidak mengatur minimumReleaseAge (masa pendingin setelah rilis paket baru), sehingga versi berbahaya secara otomatis dimasukkan ke dalam proses build begitu dirilis.