OpenAI 受朝鲜关联 Axios 供应链攻击影响
- 浏览次数 113
- 喜欢 0
HackerNews 编译,转载请注明出处:
OpenAI周五披露,其是受近期Axios供应链攻击影响的众多组织之一,网络安全专家将该攻击归因于朝鲜黑客。
Axios是广泛使用的开源JavaScript HTTP客户端库,用于Web和Node.js应用发起请求。其每周下载量超过1亿次,是无数开发者项目和生产系统的依赖项。
3月底,攻击者入侵Axios首席维护者的NPM账户,发布两个恶意NPM包,设计用于下载并执行可在Windows、macOS和Linux上运行的跨平台远控木马。恶意包仅上线数小时即被检测并移除,但许多组织可能已受影响。
OpenAI是其中之一,该公司在周五发布的博客文章中详细介绍了调查、修复工作及根本原因分析。
OpenAI解释:"我们在macOS应用签名流程中使用的GitHub Actions工作流下载并执行了恶意版本的Axios(1.14.1版本)。该工作流有权访问用于签名macOS应用的证书和公证材料,包括ChatGPT桌面版、Codex、Codex-cli和Atlas。该证书帮助客户确认软件来自合法开发者OpenAI。"
载荷执行时间及其他因素使这家AI巨头认为macOS签名证书尚未被入侵。然而,公司决定作为预防措施撤销并轮换证书。
但若证书确实被入侵,攻击者可滥用其签名恶意代码,伪装成合法的OpenAI软件。
OpenAI表示:"我们已停止使用旧证书进行新软件公证,因此未授权第三方使用旧证书签名的新软件将被macOS安全保护默认阻止,除非用户明确绕过。一旦我们于2026年5月8日完全撤销证书,使用先前证书签名的应用的新下载和启动将被macOS安全保护阻止。"
目前尚不清楚具体有多少Axios用户受影响,但网络安全公司Huntress在135台机器上发现入侵证据,云安全巨头Wiz观察到恶意版本在3%的受影响环境中执行。
虽然Axios供应链攻击提供的访问权限可能对间谍活动有用,但与该活动关联的朝鲜威胁组织UNC1069主要以加密货币盗窃和其他牟利计划闻名。
消息来源:securityweek.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文