OpenAI تدور شهادات macOS بعد هجوم سلسلة إمداد Axios

إيريس كولمان

15 أبريل 2026 02:02

ترد شركة OpenAI على اختراق سلسلة التوريد npm الخاص بـ Axios المرتبط بكوريا الشمالية من خلال تدوير شهادات توقيع الشيفرة. يجب على مستخدمي macOS تحديث تطبيقات ChatGPT و Codex بحلول 8 مايو.

تجبر شركة OpenAI جميع مستخدمي macOS على تحديث تطبيقاتهم المكتبية بعد أن تم الكشف عن أن سير عمل توقيع تطبيقاتها تعرض لهجوم سلسلة التوريد الخاص بـ Axios — وهو اختراق يُعزى إلى جهات تهديد من كوريا الشمالية استهدف مكتبة جافا سكريبت الشهيرة في 31 مارس 2026.

تقول عملاقة الذكاء الاصطناعي إنها لم تجد أدلة على أن بيانات المستخدمين تم الوصول إليها أو أن برامجها تعرضت للتلاعب. لكن الشركة لا تضع احتمالات: فهي تعتبر شهادة توقيع الشيفرة الخاصة بـ macOS الخاصة بها مخترقة وتلغيها تمامًا في 8 مايو 2026.

ما الذي حدث فعلاً

عندما تم إصدار نسخة Axios 1.14.1 المخترقة على npm في 31 مارس، قام سير عمل GitHub Actions الذي تستخدمه OpenAI لتوقيع تطبيقات macOS بتنزيل وتنفيذ الشيفرة الخبيثة. كان لهذا السير عمل وصول إلى الشهادات المستخدمة لتوقيع ChatGPT Desktop و Codex و Codex CLI و Atlas — وهي الاعتمادات التي تخبر macOS “نعم، هذا البرنامج يأتي حقًا من OpenAI.”

السبب الجذري؟ تكوين خاطئ. أشار سير عمل OpenAI إلى Axios باستخدام علامة عائمة بدلاً من تجزئة التزام مثبتة، وافتقر إلى إعداد الحد الأدنى لعمر الإصدار للعبوات الجديدة. وهو ثغرة تقليدية في سلسلة التوريد.

تشير تحليلات OpenAI الداخلية إلى أن شهادة التوقيع ربما لم تُسرق بنجاح بسبب التوقيت وتسلسل التنفيذ. لكن “محتمل” لا يكفي عندما تقوم بتوقيع برامج تعمل على ملايين الأجهزة.

الهجوم الأوسع

لم يكن اختراق Axios يستهدف OpenAI بشكل خاص. ربط باحثو الأمن، بما في ذلك فريق استخبارات التهديدات في Google، الهجوم بجهة فاعلة ذات صلة بكوريا الشمالية — ربما Sapphire Sleet أو UNC1069. قام المهاجمون باختراق حساب أحد مسؤولي npm وحقن تبعية خبيثة تسمى ‘plain-crypto-js’ التي نشرت برنامج RAT متعدد المنصات قادر على الاستطلاع، والبقاء، والتدمير الذاتي لتجنب الكشف.

الهجوم أصاب منظمات عبر قطاعات الأعمال والخدمات المالية والتكنولوجيا على مستوى العالم.

ما الذي يحتاج المستخدمون إلى فعله

إذا كنت تستخدم أي من تطبيقات OpenAI على macOS، قم بالتحديث الآن. بعد 8 مايو، ستتوقف الإصدارات القديمة عن العمل تمامًا. الإصدارات الأدنى المطلوبة:

• ChatGPT Desktop: 1.2026.051
• تطبيق Codex: 26.406.40811
• Codex CLI: 0.119.0
• Atlas: 1.2026.84.2

قم بتنزيل التحديثات فقط من المصادر الرسمية أو عبر التحديثات داخل التطبيق. تحذر OpenAI بشكل صريح من تثبيت أي شيء من رسائل البريد الإلكتروني أو الإعلانات أو المواقع الخارجية — نصيحة حكيمة نظرًا لأنه يمكن لمهاجم خبيث باستخدام الشهادة القديمة توقيع تطبيقات مزيفة تبدو شرعية.

مستخدمو Windows وiOS وAndroid وLinux غير متأثرين. كما أن النسخ على الويب ليست متأثرة. كلمات المرور ومفاتيح API تظل آمنة.

لماذا نافذة الـ 30 يومًا؟

كان بإمكان OpenAI إلغاء الشهادة على الفور لكنها اختارت عدم ذلك. تم حظر التوثيق الجديد باستخدام الشهادة المخترقة بالفعل، مما يعني أن أي تطبيق احتيالي موقّع بها سيفشل في اجتياز فحوصات الأمان الافتراضية لنظام macOS إلا إذا قام المستخدمون بتجاوزها يدويًا.

تمنح هذه المهلة المستخدمين وقتًا لتحديث برامجهم عبر القنوات العادية بدلاً من الاستيقاظ على برامج معطلة. تقول OpenAI إنها تراقب أي علامات على سوء استخدام الشهادة وستسرع في إلغائها إذا ظهرت أنشطة خبيثة.

تؤكد الحادثة على أن هجمات سلسلة التوريد لا تزال تؤثر على نظام بيئة البرمجيات. حزمة npm مخترقة واحدة، وفجأة تقوم OpenAI بتدوير الشهادات عبر كامل خط منتجات macOS الخاص بها. والدروس للمطورين واضحة: قم بتثبيت الاعتمادات على التزام معين، وليس على علامات عائمة.

مصدر الصورة: Shutterstock