OpenAI отзывает сертификаты macOS после взлома npm-пакета Axios

Компания OpenAI вынуждена отозвать и обновить сертификаты для подписи своих приложений под macOS. Причиной стала компрометация в цепочке поставок: скомпрометированная версия популярного npm-пакета Axios попала в рабочий процесс разработки OpenAI. Этот инцидент демонстрирует, как уязвимость в сторонней библиотеке может напрямую угрожать безопасности продуктов ведущей компании в области ИИ.

Атака на Axios, широко используемую библиотеку для HTTP-запросов, привела к тому, что вредоносная версия пакета была интегрирована в инфраструктуру OpenAI. Это классический пример атаки на цепочку поставок программного обеспечения, когда злоумышленники нацеливаются не на конечный продукт, а на его зависимость. OpenAI подтвердила, что скомпрометированный код попал в её среду разработки, что потребовало немедленного отзыва сертификатов для подписанных приложений на macOS.

Инцидент ставит под вопрос надежность экосистемы open-source зависимостей, которые являются фундаментом для тысяч компаний. Для OpenAI это означает не только технические издержки по замене сертификатов, но и репутационные риски, связанные с безопасностью её инструментов. Угроза распространяется на всех пользователей, которые могли установить подписанные приложения в период уязвимости. Этот случай служит предупреждением для всей индустрии о необходимости усиленного контроля за сторонними компонентами в критически важных рабочих процессах.