OpenAI bị tấn công chuỗi cung ứng, chứng chỉ chữ ký bị rò rỉ, bản macOS sẽ buộc cập nhật vào tháng tới

Tin tức từ Odaily: OpenAI xác nhận môi trường nội bộ của họ đã bị tấn công chuỗi cung ứng thông qua gói NPM độc hại TanStack, khiến thiết bị của hai nhân viên bị nhiễm. Mặc dù dữ liệu người dùng và mã nguồn cốt lõi không bị ảnh hưởng, nhưng kẻ tấn công đã đánh cắp một số thông tin xác thực truy cập kho mã nội bộ, bao gồm cả chứng chỉ chữ ký mã được sử dụng cho các sản phẩm iOS, macOS và Windows.

Để ngăn chặn tin tặc sử dụng chứng chỉ bị đánh cắp để phát hành ứng dụng giả mạo, OpenAI đã tiến hành luân chuyển chứng chỉ phòng thủ và thông báo rằng tất cả người dùng macOS sử dụng ChatGPT Desktop, Codex và Atlas Browser phải nâng cấp lên phiên bản mới nhất trước ngày 12 tháng 6 năm 2026. Khi đó, các chứng chỉ cũ sẽ bị thu hồi, việc khởi chạy ứng dụng cũ và cài đặt mới sẽ bị hệ thống chặn lại.

OpenAI cho biết công ty trước đó đã triển khai các chính sách chặn gói mã chặt chẽ hơn, nhưng các thiết bị bị nhiễm chưa đồng bộ cấu hình mới nhất, dẫn đến các thành phần độc hại xâm nhập thành công. Hiện tại, các ứng dụng khách iOS và Windows không bị ảnh hưởng, và dữ liệu cốt lõi như mật khẩu tài khoản người dùng và khóa API cũng đã được xác nhận an toàn.