Beatingによると、OpenAIのmacOS署名証明書は5月8日に失効(revocation)される予定で、古いバージョンのChatGPT Desktop、Codex、Codex CLI、そしてAtlasが動作不能となり、アップデートも受け取れなくなります。Macのユーザーは、アプリ内アップデート、またはOpenAI公式サイトからのダウンロードにより、直ちに更新してください。
この失効は、Axiosを標的にした3月31日のnpmサプライチェーン攻撃に由来します。Axiosは、毎週70ミリオン件以上のダウンロードがあるJavaScriptのHTTPライブラリです。攻撃者は、侵害されたメンテナー権限を使って悪意のあるバージョンをリリースし、plain-crypto-jsという偽の依存関係を注入しました。この偽の依存関係は、自動的にリモートアクセス型トロイの木馬(RAT)をダウンロードし、macOS、Windows、Linuxに影響を与えました。Microsoftは、この攻撃を北朝鮮の脅威アクターSapphire Sleetによるものだとしています。OpenAIのGitHub Actionsのワークフローは、macOSアプリのビルド中に悪意のあるバージョンを自動的に取り込んでいましたが、同社は証明書の窃取、ユーザーデータの侵害、またはシステム侵害の証拠は見つかりませんでした。
