OpenAI getroffen door Axios-aanval, vervangt code signing certificaat

In dit artikel:

OpenAI is getroffen door de recente aanval op de populaire npm-library Axios en vervangt preventief het code signing-certificaat dat wordt gebruikt voor het ondertekenen van macOS-apps. Aanvallers konden het account van de hoofdonderhouder van Axios compromitteren en kwaadaardige releases publiceren die een remote access trojan (RAT) installeerden; Axios heeft wekelijks meer dan honderd miljoen downloads. Een GitHub Actions-workflow bij OpenAI haalde per ongeluk een besmette versie binnen en voerde die uit; die workflow had toegang tot het certificaat en de notarization-materiaal voor macOS-apps zoals ChatGPT Desktop, Codex, Codex CLI en Atlas.

Hoewel OpenAI concludeert dat het certificaat waarschijnlijk niet daadwerkelijk is buitgemaakt, geldt het nu als mogelijk gecompromitteerd en wordt het vervangen uit voorzorg. Vanaf 8 mei ontvangen oudere macOS-versies van de genoemde apps geen updates meer en kunnen ze mogelijk niet meer functioneren, waardoor gebruikers ongeveer een maand krijgen om te upgraden. OpenAI meldt bovendien dat het getroffen notarization-materiaal niet meer bruikbaar is; zonder geldige notarization zal macOS apps standaard blokkeren. Mocht misbruik van het certificaat zichtbaar worden, dan zegt OpenAI de uiterste datum sneller in te trekken.

Kort gezegd: vanwege het Axios-lek vervangt OpenAI zijn ondertekeningsmiddelen om te voorkomen dat kwaadwillenden malware als legitieme OpenAI-software laten lijken, en gebruikers van oudere macOS-clients moeten binnen de gestelde termijn updaten.