Атака на цепочку поставок программного обеспечения затронула один из самых популярных в мире программных инструментов, что вынудило разработчиков ChatGPT немедленно отреагировать.
OpenAI объявила в официальном заявлении, что обнаружила уязвимость безопасности, связанную со сторонним инструментом разработки Axios, который является широко используемой библиотекой в экосистеме JavaScript. Компания предприняла решительные шаги для обеспечения безопасности процесса сертификации своих приложений для MacOS, чтобы гарантировать, что пользователи используют аутентичное и безопасное программное обеспечение.
Представители ИИ-гиганта подчеркнули, что анализ не обнаружил никаких доказательств несанкционированного доступа к пользовательским данным или нарушения внутренних систем компании или интеллектуальной собственности.. OpenAI также гарантирует, что исходный код их проприетарного программного обеспечения не был каким-либо образом изменен злоумышленниками. Однако ситуация настолько серьезна, что компания решила обновить свои сертификаты безопасности и обязала всех пользователей компьютеров Apple обновить приложение OpenAI до последних версий. Это действие направлено на устранение риска распространения поддельных версий программного обеспечения, которые могут выдавать себя за официальные инструменты, такие как ChatGPT Desktop или Atlas. Эксперты по кибербезопасности отмечают, что этот инцидент является частью более широкой тенденции атак на инфраструктуру доверия, целью которых являются ключи подписи приложений.
Северокорейский след атаки на библиотеку Axios
Согласно выводам OpenAI и независимых исследователей безопасности, библиотека Axios подверглась атаке 31 марта в рамках операции, направленной на глобальную цепочку поставок программного обеспечения. За атакой стоят хакерские группы, связанные с Северной Кореей, которым удалось внедрить вредоносный код в популярный репозиторий. В результате этого инцидента рабочий процесс GitHub Actions, используемый OpenAI, по незнанию загрузил и выполнил зараженную версию Axios. Этот инструмент имел доступ к сертификационным и нотариальным материалам, используемым для подписи приложений macOS, что теоретически могло позволить хакерам создавать вредоносное ПО, которое выглядело как полностью законный продукт OpenAI. Microsoft Threat Intelligence приписывает эту атаку группе Sapphire Sleet, что указывает на высокую точность действий злоумышленников. Несмотря на то, что вредоносная нагрузка имела доступ к сертификатам, детальный технический анализ показал, что злоумышленникам, скорее всего, не удалось их украсть. OpenAI заверяет, что ключи API и пароли пользователей оставались в безопасности и не подвергались утечке из-за этой уязвимости. Это ключевая информация для разработчиков, создающих решения на основе языковых моделей, для которых безопасность учетных данных является приоритетом.
Необходимые обновления и новые стандарты безопасности
Непосредственной причиной инцидента стала неправильная настройка рабочего процесса GitHub Actions, которая впоследствии была исправлена инженерами OpenAI.. Однако компания установила для своих пользователей жесткий срок для внедрения изменений — с 8 мая старые версии десктопных приложений для macOS перестанут получать техническую поддержку и могут перестать функционировать. Это требование касается не только популярного ChatGPT Desktop, но и таких инструментов, как Codex, Codex-cli и Atlas.
Вся отрасль рассматривает этот случай как предостережение от слишком большого доверия к внешним зависимостям кода, что подтверждается комментариями аналитиков, указывающих на растущие масштабы угроз цепочки поставок. Стоит отметить, что OpenAI — не единственная компания, затронутая этой проблемой, поскольку Axios генерирует миллионы загрузок в неделю, что делает ее идеальной мишенью для государственных хакеров. Для экосистемы криптовалют и искусственного интеллекта, где Биткойн и Эфириум являются основой ценности, безопасность инструментов доступа имеет решающее значение, и любая уязвимость в программном обеспечении macOS может стать воротами для кражи активов. OpenAI заявляет, что извлекла уроки из этого инцидента и внедряет дополнительные уровни защиты, чтобы минимизировать влияние подобных атак на процессы разработки в будущем.
Читайте о новых, привлекательных условиях аренды квартир в Польше:
Снимайте квартиру в коммуналке и платите вдвое меньше — так работает новая SAN-система
и как фондовые рынки отреагировали на прекращение огня:
Прорыв на Ближнем Востоке? Рынки взлетели в преддверии ключевых переговоров
