OpenAI หมุนเวียนใบรับรอง macOS หลังการโจมตีห่วงโซ่อุปทาน Axios
Iris Coleman 15 เม.ย. 2026 02:02
OpenAI ตอบสนองต่อการโจมตี Axios npm ที่เชื่อมโยงกับเกาหลีเหนือด้วยการหมุนเวียนใบรับรองการลงนามโค้ด ผู้ใช้ macOS ต้องอัปเดตแอป ChatGPT และ Codex ภายในวันที่ 8 พฤษภาคม
OpenAI กำลังบังคับให้ผู้ใช้ macOS ทั้งหมดอัปเดตแอปพลิケーชันเดสก์ท็อปของตนหลังจากเวิร์กโฟลว์การลงนามแอปของบริษัทถูกเปิดเผยต่อการโจมตีห่วงโซ่อุปทาน Axios ซึ่งเป็นการโจมตีที่มาจากกลุ่มคุกคามของเกาหลีเหนือที่โจมตีไลบรารี JavaScript ยอดนิยมเมื่อวันที่ 31 มีนาคม 2026
ยักษ์ใหญ่ด้าน AI กล่าวว่าไม่พบหลักฐานว่ามีการเข้าถึงข้อมูลผู้ใช้หรือซอफต์แวร์ถูกดัดแปลง แต่บริษัทไม่ได้เสี่ยง โดยถือว่าใบรับรองการลงนามโค้ด macOS ถูกบุกรุกและจะเพิกถอนทั้งหมดในวันที่ 8 พฤษภาคม 2026
เกิดอะไรขึ้นจริงๆ
เมื่อ Axios เวอร์ชัน 1.14.1 ที่ถูกบุกรุกถูกปล่อยบน npm เมื่อวันที่ 31 มีนาคม เวิร์กโฟลว์ GitHub Actions ที่ OpenAI ใช้สำหรับการลงนามแอป macOS ได้ดาวน์โหลดและรันโค้ดที่เป็นอันตราย เวิร์กโฟลว์นั้นมีสิทธิ์เข้าถึงใบรับรองที่ใช้ลงนาม ChatGPT Desktop, Codex, Codex CLI และ Atlas ซึ่งเป็นข้อมูลรับรองที่บอก macOS ว่า "ใช่ ซอฟต์แวร์นี้มาจาก OpenAI จริงๆ"
สาเหตุหลัก? การกำหนดค่าผิดพลาด เวิร์กโฟลว์ของ OpenAI อ้างอิง Axios โดยใช้แท็กแบบลอยตัวแทนที่จะเป็น commit hash ที่ตรึงไว้ และขาด minimumReleaseAge ที่กำหนดค่าไว้สำหรับแพ็คเกจใหม่ ช่องโหว่ห่วงโซ่อุปทานแบบคลาสสิก
การวิเคราะห์ภายในของ OpenAI ชี้ว่าใบรับรองการลงนามน่าจะไม่ถูกขโมยออกไปได้สำเร็จเนื่องจากเวลาและลำดับการทำงาน แต่ "น่าจะ" ไม่เพียงพอเมื่อคุณกำลังลงนามซอฟต์แวร์ที่ทำงานบนเครื่องนับล้าน
การโจมตีที่กว้างขึ้น
การบุกรุก Axios ไม่ได้กำหนดเป้าหมายที่ OpenAI โดยเฉพาะ นักวิจัยด้านความปลอดภัย รวมถึงทีมข่าวกรองภัยคุกคามของ Google เชื่อมโยงการโจมตีกับกลุ่มผู้โจมตีที่เชื่อมโยงกับเกาหลีเหนือ อาจเป็น Sapphire Sleet หรือ UNC1069 ผู้โจมตีบุกรุกบัญชีผู้ดูแล npm และแทรก dependency ที่เป็นอันตรายชื่อ 'plain-crypto-js' ที่ปล่อย RAT ข้ามแพลตฟอร์มที่สามารถสอดแนม คงอยู่ และทำลายตัวเองเพื่อหลีกเลี่ยงการตรวจจับ
การโจมตีกระทบองค์กรในภาคบริการธุรกิจ บริการทางการเงิน และภาคเทคโนโลยีทั่วโลก
สิ่งที่ผู้ใช้ต้องทำ
หากคุณใช้แอป OpenAI macOS ใดๆ อัปเดตเดี๋ยวนี้ หลังจากวันที่ 8 พฤษภาคม เวอร์ชันเก่าจะหยุดทำงานโดยสิ้นเชิง เวอร์ชันขั้นต่ำที่ต้องการ:
- ChatGPT Desktop: 1.2026.051
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
ดาวน์โหลดจากแหล่งที่เป็นทางการเท่านั้นหรือผ่านการอัปเดตในแอป OpenAI เตือนอย่างชัดเจนไม่ให้ติดตั้งสิ่งใดจากอีเมล โฆษณา หรือไซต์ของบุคคลที่สาม ซึ่งเป็นคำแนะนำที่ดีเนื่องจากผู้โจมตีที่มีใบรับรองเก่าสามารถลงนามแอปปลอมที่ดูถูกต้องตามทฤษฎี
ผู้ใช้ Windows, iOS, Android และ Linux ไม่ได้รับผลกระทบ เวอร์ชันเว็บก็เช่นกัน รหัสผ่านและ API keys ยังคงปลอดภัย
ทำไมต้องใช้เวลา 30 วัน?
OpenAI สามารถเพิกถอนใบรับรองได้ทันที แต่เลือกที่จะไม่ทำ การรับรองใหม่ด้วยใบรับรองที่ถูกบุกรุกถูกบล็อกแล้ว หมายความว่าแอปปลอมใดๆ ที่ลงนามด้วยมันจะล้มเหลวในการตรวจสอบความปลอดภัยเริ่มต้นของ macOS เว้นแต่ผู้ใช้จะเอาชนะด้วยตนเอง
การหน่วงเวลาให้เวลาผู้ใช้อัปเดตผ่านช่องทางปกติแทนที่จะตื่นขึ้นมาพบซอฟต์แวร์เสีย OpenAI กล่าวว่ากำลังติดตามสัญญาณการใช้ใบรับรองในทางที่ผิดและจะเร่งการเพิกถอนหากมีกิจกรรมที่เป็นอันตรายปรากฏ
เหตุการณ์นี้เน้นย้ำว่าการโจมตีห่วงโซ่อุปทานยังคงส่งผลกระทบไปทั่วระบบนิเวศซอฟต์แวร์อย่างต่อเนื่อง แพ็คเกจ npm เดียวที่ถูกบุกรุก และทันใดนั้น OpenAI ก็หมุนเวียนใบรับรองทั่วทั้งสายผลิตภัณฑ์ macOS สำหรับนักพัฒนา บทเรียนชัดเจน: ตรึง dependencies ของคุณไว้ที่ commit เฉพาะ ไม่ใช่แท็กลอยตัว
แหล่งที่มาของรูปภาพ: Shutterstock- openai
- การโจมตีห่วงโซ่อุปทาน
- ความปลอดภัยทางไซเบอร์
- axios
- macos
