C
月内に
OpenAIは、npmパッケージ「Axios」のサプライチェーン攻撃により、macOSアプリの署名証明書を失効・更新したと発表しました
📌 一言でいうと
OpenAIは、npmパッケージ「Axios」のサプライチェーン攻撃により、macOSアプリの署名証明書を失効・更新したと発表しました。GitHub Actionsによる自動ビルドプロセスで悪意のあるAxios(バージョン1.14.1)が実行され、証明書へのアクセス権があったため、予防的措置として対応が行われました。現時点でユーザーデータや知的財産の流出、システムの侵害などの証拠は見つかっていないとしています。
🏢影響範囲
OpenAIおよび同社のmacOSアプリケーション(ChatGPT Desktop, Codex, Codex CLI, Atlas)の利用者
✅該当時の対応
依存関係のバージョンを固定(Lockファイルの使用)し、パッケージの整合性を検証すること。CI/CDパイプラインにおける秘密情報の管理を厳格化し、最小権限の原則を適用して証明書へのアクセスを制限すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenAIにおけるサプライチェーン攻撃と証明書失効について
お疲れさまです。OpenAI社で発生したセキュリティインシデントに関する情報共有です。
■ 概要
npmパッケージ「Axios」のサプライチェーン攻撃により、OpenAIのGitHub Actionsビルドプロセスで悪意のあるパッケージ(v1.14.1)が実行されました。これにより、macOSアプリの署名証明書が潜在的に侵害された可能性があるため、OpenAI社は当該証明書を失効・更新しています。
■ 影響範囲
- OpenAI macOSアプリケーション(ChatGPT Desktop, Codex, Codex CLI, Atlas)
- 同様のCI/CDパイプライン(GitHub Actions等)でnpmパッケージを利用している環境
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、依存パッケージのバージョンを固定(Lockファイルの使用)し、整合性を検証してください。
2. CI/CDパイプラインにおけるシークレット(証明書・APIキー等)の管理を見直し、最小権限の原則に基づいたアクセス制限を適用してください。
3. 外部ライブラリの導入時に、脆弱性スキャンやサプライチェーン攻撃の検知ツールの導入を検討してください。
■ 参考情報
- xakep (Security News)
対応優先度: 中(今後の再発防止策として優先的にご検討ください)
お疲れさまです。OpenAI社で発生したセキュリティインシデントに関する情報共有です。
■ 概要
npmパッケージ「Axios」のサプライチェーン攻撃により、OpenAIのGitHub Actionsビルドプロセスで悪意のあるパッケージ(v1.14.1)が実行されました。これにより、macOSアプリの署名証明書が潜在的に侵害された可能性があるため、OpenAI社は当該証明書を失効・更新しています。
■ 影響範囲
- OpenAI macOSアプリケーション(ChatGPT Desktop, Codex, Codex CLI, Atlas)
- 同様のCI/CDパイプライン(GitHub Actions等)でnpmパッケージを利用している環境
■ 対応手順
1. 開発環境およびCI/CDパイプラインにおいて、依存パッケージのバージョンを固定(Lockファイルの使用)し、整合性を検証してください。
2. CI/CDパイプラインにおけるシークレット(証明書・APIキー等)の管理を見直し、最小権限の原則に基づいたアクセス制限を適用してください。
3. 外部ライブラリの導入時に、脆弱性スキャンやサプライチェーン攻撃の検知ツールの導入を検討してください。
■ 参考情報
- xakep (Security News)
対応優先度: 中(今後の再発防止策として優先的にご検討ください)
Subject: [FYI] Supply Chain Attack on OpenAI and Certificate Revocation
Hi all,
This is a security advisory regarding a recent incident involving OpenAI.
■ Overview
A supply chain attack targeting the npm package "Axios" led to the execution of a malicious version (v1.14.1) within OpenAI's GitHub Actions build process. As a precautionary measure, OpenAI has revoked and updated the signing certificates for its macOS applications due to potential compromise.
■ Scope
- OpenAI macOS applications (ChatGPT Desktop, Codex, Codex CLI, Atlas)
- Environments utilizing npm packages within similar CI/CD pipelines (e.g., GitHub Actions)
■ Recommended Actions
1. Ensure that dependency versions are pinned using lock files and verify package integrity across all development and CI/CD environments.
2. Review the management of secrets (certificates, API keys, etc.) in CI/CD pipelines and apply the principle of least privilege to restrict access.
3. Consider implementing vulnerability scanning or supply chain security tools to detect malicious packages during the build process.
■ Reference
- xakep (Security News)
Priority: Medium (Recommended to prioritize as a preventative measure)
Hi all,
This is a security advisory regarding a recent incident involving OpenAI.
■ Overview
A supply chain attack targeting the npm package "Axios" led to the execution of a malicious version (v1.14.1) within OpenAI's GitHub Actions build process. As a precautionary measure, OpenAI has revoked and updated the signing certificates for its macOS applications due to potential compromise.
■ Scope
- OpenAI macOS applications (ChatGPT Desktop, Codex, Codex CLI, Atlas)
- Environments utilizing npm packages within similar CI/CD pipelines (e.g., GitHub Actions)
■ Recommended Actions
1. Ensure that dependency versions are pinned using lock files and verify package integrity across all development and CI/CD environments.
2. Review the management of secrets (certificates, API keys, etc.) in CI/CD pipelines and apply the principle of least privilege to restrict access.
3. Consider implementing vulnerability scanning or supply chain security tools to detect malicious packages during the build process.
■ Reference
- xakep (Security News)
Priority: Medium (Recommended to prioritize as a preventative measure)