B
今週中
OpenAIのmacOSアプリ署名ワークフローにおいて、悪意のあるAxiosライブラリがダウンロードされたこと
📌 一言でいうと
OpenAIのmacOSアプリ署名ワークフローにおいて、悪意のあるAxiosライブラリがダウンロードされたことが判明しました。この攻撃は北朝鮮のハッキンググループUNC1069によるnpmパッケージのサプライチェーン攻撃に起因しており、バックドア「WAVESHAPER.V2」を配布するものでした。OpenAIは予防措置としてmacOSアプリの証明書を失効させましたが、ユーザーデータや内部システムの侵害は確認されていないとしています。
🏢影響範囲
OpenAI macOSアプリ利用者、npmパッケージAxiosを利用する開発者および組織
✅該当時の対応
1. 開発環境におけるnpmパッケージの依存関係を監査し、Axiosのバージョンが1.14.1または0.30.4でないか確認すること。 2. ソフトウェアビルドパイプラインにおけるサードパーティライブラリの整合性チェック(Lockファイルの使用やハッシュ検証)を徹底すること。 3. macOSアプリの最新バージョンへの更新を適用すること。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】OpenAI macOSアプリ証明書失効およびAxiosサプライチェーン攻撃について
お疲れさまです。OpenAIのmacOSアプリに関連するサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループUNC1069がnpmパッケージ「Axios」のメンテナーアカウントを乗っ取り、悪意のあるバージョン(1.14.1, 0.30.4)を配布しました。これによりバックドア「WAVESHAPER.V2」が展開されるリスクがあり、OpenAIのビルドワークフローでもこのライブラリが検出されたため、予防措置としてmacOSアプリの証明書が失効されました。
■ 影響範囲
- OpenAI macOSアプリケーション
- Axios v1.14.1 および v0.30.4 を利用しているプロジェクト
■ 対応手順
1. 開発プロジェクトで使用しているAxiosのバージョンを確認し、影響のあるバージョンが含まれている場合は直ちに更新してください。
2. 依存関係の固定(package-lock.json等)および脆弱性スキャン(npm audit等)を実施してください。
3. 社内で利用しているOpenAI macOSアプリを最新版にアップデートしてください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 高
対応期限: 本日中
お疲れさまです。OpenAIのmacOSアプリに関連するサプライチェーン攻撃に関する情報共有です。
■ 概要
北朝鮮のAPTグループUNC1069がnpmパッケージ「Axios」のメンテナーアカウントを乗っ取り、悪意のあるバージョン(1.14.1, 0.30.4)を配布しました。これによりバックドア「WAVESHAPER.V2」が展開されるリスクがあり、OpenAIのビルドワークフローでもこのライブラリが検出されたため、予防措置としてmacOSアプリの証明書が失効されました。
■ 影響範囲
- OpenAI macOSアプリケーション
- Axios v1.14.1 および v0.30.4 を利用しているプロジェクト
■ 対応手順
1. 開発プロジェクトで使用しているAxiosのバージョンを確認し、影響のあるバージョンが含まれている場合は直ちに更新してください。
2. 依存関係の固定(package-lock.json等)および脆弱性スキャン(npm audit等)を実施してください。
3. 社内で利用しているOpenAI macOSアプリを最新版にアップデートしてください。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 高
対応期限: 本日中
Subject: [Security Alert] OpenAI macOS App Certificate Revocation & Axios Supply Chain Attack
Dear Team,
This is a technical alert regarding a supply chain compromise affecting the Axios npm package and OpenAI's macOS application signing process.
■ Overview
The North Korean threat actor UNC1069 hijacked an npm maintainer account to push poisoned versions of the Axios library (v1.14.1 and v0.30.4). These versions include a malicious dependency "plain-crypto-js" which deploys the WAVESHAPER.V2 backdoor. OpenAI discovered this library in their GitHub Actions workflow and has revoked their macOS app certificate as a precaution.
■ Scope
- OpenAI macOS applications
- Any internal projects utilizing Axios v1.14.1 or v0.30.4
■ Mitigation Steps
1. Audit all project dependencies to ensure Axios is not running versions 1.14.1 or 0.30.4.
2. Enforce the use of lock files and implement automated vulnerability scanning (e.g., npm audit, Snyk).
3. Ensure all OpenAI macOS applications are updated to the latest legitimate version.
■ Reference
- Google Threat Intelligence Group (GTIG) Analysis
Priority: High
Deadline: Immediate
Dear Team,
This is a technical alert regarding a supply chain compromise affecting the Axios npm package and OpenAI's macOS application signing process.
■ Overview
The North Korean threat actor UNC1069 hijacked an npm maintainer account to push poisoned versions of the Axios library (v1.14.1 and v0.30.4). These versions include a malicious dependency "plain-crypto-js" which deploys the WAVESHAPER.V2 backdoor. OpenAI discovered this library in their GitHub Actions workflow and has revoked their macOS app certificate as a precaution.
■ Scope
- OpenAI macOS applications
- Any internal projects utilizing Axios v1.14.1 or v0.30.4
■ Mitigation Steps
1. Audit all project dependencies to ensure Axios is not running versions 1.14.1 or 0.30.4.
2. Enforce the use of lock files and implement automated vulnerability scanning (e.g., npm audit, Snyk).
3. Ensure all OpenAI macOS applications are updated to the latest legitimate version.
■ Reference
- Google Threat Intelligence Group (GTIG) Analysis
Priority: High
Deadline: Immediate