Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

ChatGPT для Mac «заболел». Нужно обновляться, иначе в мае программа превратится в тыкву

leer en español

Axios OpenAI ChatGPT GitHub macOS
ChatGPT для Mac «заболел». Нужно обновляться, иначе в мае программа превратится в тыкву
Axios OpenAI ChatGPT GitHub macOS

Почему даже гиганты индустрии не застрахованы от дырявого софта.

image

В цепочке поставок программного обеспечения снова сбой, и на этот раз история задела популярные приложения OpenAI для macOS. Компания обнаружила, что в процесс сборки её программ незаметно попал вредоносный код через стороннюю библиотеку.

Речь идёт о библиотеке Axios, которую разработчики по всему миру используют для работы с сетевыми запросами. 31 марта 2026 года злоумышленники внедрили вредоносную версию Axios в рамках более широкой атаки на цепочку поставок. Во время автоматической сборки приложений для macOS система OpenAI скачала и запустила заражённую версию библиотеки.

Проблема затронула процесс подписания программ. Такой механизм подтверждает, что приложение выпустил именно официальный разработчик. В ходе сборки вредоносный код получил доступ к сертификату подписи, который используется для подтверждения подлинности приложений, включая ChatGPT Desktop и другие продукты компании.

OpenAI заявила, что не нашла признаков утечки пользовательских данных, взлома внутренних систем или изменения своих программ. По оценке компании, вредоносный код, скорее всего, не успел похитить сертификат из-за особенностей работы сборочного процесса. Тем не менее сертификат решили считать скомпрометированным и заменить.

Компания уже выпустила новые версии приложений с обновлённым сертификатом и просит всех пользователей macOS установить обновления. Такой шаг нужен, чтобы исключить риск распространения поддельных программ, которые могут маскироваться под официальные продукты OpenAI.

Старые версии приложений перестанут получать обновления и поддержку с 8 мая 2026 года. После этой даты macOS начнёт блокировать запуск новых копий программ, подписанных старым сертификатом.

OpenAI также закрыла возможность повторной сертификации программ с использованием старого сертификата и проверила историю подписания приложений. Подозрительных действий компания не обнаружила.

Причиной инцидента стала ошибка в настройке автоматической сборки через GitHub Actions. Вместо жёстко зафиксированной версии зависимости использовалась «плавающая» ссылка, из-за чего система загрузила заражённую библиотеку.

В компании отдельно подчеркнули, что пароли пользователей и ключи API не пострадали, а проблема касается только приложений для macOS. Версии для iOS, Android, Windows и Linux, а также веб-сервисы, остались вне зоны риска.