OpenAI تقوم بتدوير شهادات macOS بعد هجوم سلسلة التوريد على Axios
إيريس كولمان 15 أبريل 2026 02:02
تستجيب OpenAI لاختراق Axios npm المرتبط بكوريا الشمالية من خلال تدوير شهادات توقيع الكود. يجب على مستخدمي macOS تحديث تطبيقات ChatGPT وCodex بحلول 8 مايو.
تجبر OpenAI جميع مستخدمي macOS على تحديث تطبيقات سطح المكتب الخاصة بهم بعد أن تعرض سير عمل توقيع تطبيقات الشركة لهجوم سلسلة التوريد على Axios - وهو اختراق يُعزى إلى جهات تهديد من كوريا الشمالية أصابت مكتبة JavaScript الشهيرة في 31 مارس 2026.
تقول شركة الذكاء الاصطناعي العملاقة إنها لم تجد أي دليل على الوصول إلى بيانات المستخدم أو العبث الخبيث ببرامجها. لكن الشركة لا تخاطر: فهي تتعامل مع شهادة توقيع كود macOS الخاصة بها على أنها مخترقة وتلغيها بالكامل في 8 مايو 2026.
ما الذي حدث بالفعل
عندما وصل إصدار Axios المخترق 1.14.1 إلى npm في 31 مارس، قام سير عمل GitHub Actions الذي تستخدمه OpenAI لتوقيع تطبيقات macOS بتنزيل وتنفيذ الكود الخبيث. كان لهذا السير إمكانية الوصول إلى الشهادات المستخدمة لتوقيع ChatGPT Desktop وCodex وCodex CLI وAtlas - بيانات الاعتماد التي تخبر macOS "نعم، هذا البرنامج يأتي حقًا من OpenAI."
السبب الجذري؟ خطأ في التكوين. أشار سير عمل OpenAI إلى Axios باستخدام علامة عائمة بدلاً من تجزئة التزام مثبتة، وافتقر إلى minimumReleaseAge مكوَّن للحزم الجديدة. ثغرة سلسلة توريد كلاسيكية.
يشير التحليل الداخلي لـ OpenAI إلى أن شهادة التوقيع على الأرجح لم يتم تسريبها بنجاح بسبب التوقيت وتسلسل التنفيذ. لكن "على الأرجح" ليست كافية عندما تقوم بتوقيع برامج تعمل على ملايين الأجهزة.
الهجوم الأوسع
لم يكن اختراق Axios يستهدف OpenAI على وجه التحديد. ربط باحثون أمنيون، بما في ذلك فريق التهديدات الاستخباراتية من Google، الهجوم بجهة فاعلة مرتبطة بكوريا الشمالية - ربما Sapphire Sleet أو UNC1069. اخترق المهاجمون حساب مشرف npm وحقنوا اعتمادية خبيثة تسمى 'plain-crypto-js' نشرت RAT متعدد المنصات قادر على الاستطلاع والاستمرارية والتدمير الذاتي لتجنب الاكتشاف.
أصاب الهجوم المؤسسات عبر خدمات الأعمال والخدمات المالية وقطاعات التكنولوجيا على مستوى العالم.
ما يحتاج المستخدمون إلى القيام به
إذا كنت تشغل أي تطبيقات OpenAI macOS، فقم بالتحديث الآن. بعد 8 مايو، ستتوقف الإصدارات القديمة عن العمل تمامًا. الحد الأدنى من الإصدارات المطلوبة:
- ChatGPT Desktop: 1.2026.051
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
قم بالتنزيل فقط من مصادر رسمية أو عبر التحديثات داخل التطبيق. تحذر OpenAI صراحةً من تثبيت أي شيء من رسائل البريد الإلكتروني أو الإعلانات أو مواقع الطرف الثالث - نصيحة سليمة بالنظر إلى أن جهة فاعلة خبيثة تمتلك الشهادة القديمة يمكن نظريًا أن توقع تطبيقات مزيفة تبدو شرعية.
لا يتأثر مستخدمو Windows وiOS وAndroid وLinux. ولا الإصدارات عبر الويب. تظل كلمات المرور ومفاتيح واجهة برمجة التطبيقات آمنة.
لماذا فترة 30 يومًا؟
كان بإمكان OpenAI إلغاء الشهادة فورًا لكنها اختارت عدم القيام بذلك. تم حظر التوثيق الجديد بالشهادة المخترقة بالفعل، مما يعني أن أي تطبيق احتيالي موقع بها سيفشل في فحوصات أمن macOS الافتراضية ما لم يتجاوزها المستخدمون يدويًا.
يمنح التأخير المستخدمين وقتًا للتحديث من خلال القنوات العادية بدلاً من الاستيقاظ على برامج معطلة. تقول OpenAI إنها تراقب أي علامات على إساءة استخدام الشهادة وستسرع الإلغاء إذا ظهر نشاط خبيث.
تؤكد الحادثة كيف تستمر هجمات سلسلة التوريد في التموج عبر النظام البيئي للبرمجيات. حزمة npm واحدة مخترقة، وفجأة تقوم OpenAI بتدوير الشهادات عبر خط إنتاج macOS بالكامل. بالنسبة للمطورين، الدرس واضح: اربط تبعياتك بالتزامات محددة، وليس بعلامات عائمة.
مصدر الصورة: Shutterstock- openai
- هجوم سلسلة التوريد
- الأمن السيبراني
- axios
- macos
