OpenAI is één van de organisaties die getroffen is door de aanval op Axios en heeft uit voorzorg besloten om het code signing certificaat gebruikt voor het signeren van macOS-apps te vervangen. Applicaties gebruiken de Axios library om via HTTP met andere systemen te communiceren. De library heeft meer dan honderd miljoen wekelijkse downloads op npmjs.com.
Bij een recente aanval wisten de aanvallers het account van de primaire maintainer van het Axios-project te compromitteren, om vervolgens malafide versies uit te brengen. Deze versies installeerden bij gebruikers een remote access trojan (RAT). De GitHub Actions workflow die OpenAI gebruikt voor het signeren van de macOS-app downloadde de besmette versie en voerde die ook uit. De workflow in kwestie heeft toegang tot het certificaat en notarization materiaal dat OpenAI gebruikt voor het signeren van macOS-applicaties, waaronder ChatGPT Desktop, Codex, Codex-cli en Atlas.
Door de code te signeren kunnen gebruikers controleren dat de software afkomstig is van OpenAI. Met een gestolen certificaat zou een aanvaller malware kunnen signeren, waarbij het lijkt om legitieme OpenAI software te gaan. OpenAI deed onderzoek naar de aanval en stelt dat het code signing certificaat waarschijnlijk niet door de aanvallers is gestolen.
Uit voorzorg is echter besloten om het certificaat als gecompromitteerd te beschouwen en het te vervangen. Vanaf 8 mei zullen oudere versies van ChatGPT Desktop, Codex App, Codex CLI en Atlas voor macOS geen updates meer ontvangen en mogelijk niet meer werken. Gebruikers krijgen zo een maand de tijd om hun applicaties te vervangen.
Volgens OpenAI is het getroffen notarization materiaal niet meer te gebruiken. Mocht het getroffen certificaat worden gebruikt voor het signeren van een macOS-app, dan zal macOS deze app vanwege het ontbreken van notarization standaard blokkeren. Notarization is een geautomatiseerd proces waarbij Apple door ontwikkelaars aangeboden apps op malware controleert. Mocht er misbruik van het certificaat worden gedetecteerd, dan zegt OpenAI de genoemde datum naar voren te halen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Senior Information Security Officer
Stap in de rol van Senior Information Security Officer in Rotterdam waar je iedere dag zichtbaar impact maakt op hoe we onze organisatie beschermen. Klaar om verder te lezen en te ontdekken waar jij het verschil kunt maken?
Medior Information Security Officer
Als Medior Information Security Officer in Rotterdam versterk je onze digitale veiligheid in een organisatie die volop in cloudtransitie is. Je werkt met moderne cloud technologie én uitdagende legacy. Krijg jij energie van échte impact? Dan is dit jouw plek.
Digital Designer
Ben jij een Grafisch vormgever, UI/UX-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, en op zoek naar een unieke en uitdagende baan waar je al je creativiteit in kwijt kan? Dan ben je bij Certified Secure aan het juiste adres! Je werkt samen met onze security developers aan onze Gamified Cybersecurity Challenges.
