OpenAI publiserte fredag at en GitHub-workflow som signerer sertifikater for macOS-applikasjoner lastet ned en ondsinnet oppdatering fra Axios-biblioteket 31. mars. Axios er et utbredt JavaScript-bibliotek for HTTP-forespørsler og har ingen tilknytning til medieselskapet Axios.
Angriperne kapret en utviklerkonto og publiserte to infiserte oppdateringer før noen oppdaget det. Google har koblet den bredere kampanjen til en nordkoreansk hackergruppe. Med tilgang til signeringssystemet kunne angriperne potensielt lage falske OpenAI-applikasjoner med gyldige sertifikater som lurer både enheter og App Store. MacOS-brukere av ChatGPT, Atlas og Codex kan være berørt.
OpenAI sier det ikke er funnet bevis for at brukerdata, IP eller interne systemer ble kompromittert. Selskapet slutter å støtte eldre versjoner av macOS-appene 8. mai, og brukere har 30 dager på å oppdatere før det tilbakekalte sertifikatet blokkerer nye nedlastinger.