Axios সাপ্লাই চেইন আক্রমণের পর OpenAI macOS সার্টিফিকেট পরিবর্তন করেছে
Iris Coleman ১৫ এপ্রিল, ২০২৬ ০২:০২
উত্তর কোরিয়া-সংযুক্ত Axios npm সমঝোতার প্রতিক্রিয়ায় OpenAI কোড সাইনিং সার্টিফিকেট পরিবর্তন করছে। macOS ব্যবহারকারীদের ৮ মে এর মধ্যে ChatGPT, Codex অ্যাপ আপডেট করতে হবে।
OpenAI সকল macOS ব্যবহারকারীদের তাদের ডেস্কটপ অ্যাপ্লিকেশন আপডেট করতে বাধ্য করছে কারণ কোম্পানির অ্যাপ-সাইনিং ওয়ার্কফ্লো Axios সাপ্লাই চেইন আক্রমণের সংস্পর্শে এসেছে—একটি সমঝোতা যা উত্তর কোরিয়ার হুমকি অভিনেতাদের সাথে সম্পর্কিত এবং যা ৩১ মার্চ, ২০২৬ তারিখে জনপ্রিয় JavaScript লাইব্রেরিতে আঘাত করেছে।
AI জায়ান্ট বলছে যে এটি কোনও প্রমাণ পায়নি যে ব্যবহারকারীর ডেটা অ্যাক্সেস করা হয়েছে বা এর সফ্টওয়্যারের সাথে কোনও হস্তক্ষেপ করা হয়েছে। কিন্তু কোম্পানি কোনও ঝুঁকি নিচ্ছে না: এটি তার macOS কোড সাইনিং সার্টিফিকেটকে সমঝোতাযুক্ত হিসাবে বিবেচনা করছে এবং ৮ মে, ২০২৬ তারিখে এটি সম্পূর্ণভাবে প্রত্যাহার করছে।
প্রকৃতপক্ষে কী ঘটেছিল
যখন সমঝোতাযুক্ত Axios সংস্করণ ১.১৪.১ ৩১ মার্চ তারিখে npm-এ আসে, তখন একটি GitHub Actions ওয়ার্কফ্লো যা OpenAI macOS অ্যাপ সাইনিংয়ের জন্য ব্যবহার করে দূষিত কোড ডাউনলোড এবং কার্যকর করে। সেই ওয়ার্কফ্লোতে ChatGPT Desktop, Codex, Codex CLI, এবং Atlas সাইন করতে ব্যবহৃত সার্টিফিকেটগুলিতে অ্যাক্সেস ছিল—যে শংসাপত্রগুলি macOS-কে বলে "হ্যাঁ, এই সফ্টওয়্যারটি সত্যিই OpenAI থেকে এসেছে।"
মূল কারণ? একটি ভুল কনফিগারেশন। OpenAI-এর ওয়ার্কফ্লো একটি পিন করা কমিট হ্যাশের পরিবর্তে একটি ফ্লোটিং ট্যাগ ব্যবহার করে Axios উল্লেখ করেছিল এবং নতুন প্যাকেজগুলির জন্য কনফিগার করা minimumReleaseAge ছিল না। ক্লাসিক সাপ্লাই চেইন দুর্বলতা।
OpenAI-এর অভ্যন্তরীণ বিশ্লেষণ পরামর্শ দেয় যে সময় এবং সম্পাদনের ক্রমের কারণে সাইনিং সার্টিফিকেট সফলভাবে বহিষ্কৃত হওয়ার সম্ভাবনা ছিল না। কিন্তু "সম্ভাবনা" যথেষ্ট নয় যখন আপনি এমন সফ্টওয়্যার সাইন করছেন যা লক্ষ লক্ষ মেশিনে চলে।
বিস্তৃত আক্রমণ
Axios সমঝোতা বিশেষভাবে OpenAI-কে লক্ষ্য করেনি। সিকিউরিটি গবেষকরা, Google-এর থ্রেট ইন্টেলিজেন্স টিম সহ, আক্রমণটিকে একটি উত্তর কোরিয়া-নেক্সাস অভিনেতার সাথে যুক্ত করেছে—সম্ভবত Sapphire Sleet বা UNC1069। আক্রমণকারীরা একটি npm রক্ষণাবেক্ষণকারীর অ্যাকাউন্ট সমঝোতা করে এবং 'plain-crypto-js' নামে একটি দূষিত নির্ভরতা ইনজেক্ট করে যা একটি ক্রস-প্ল্যাটফর্ম RAT স্থাপন করেছিল যা পুনর্নিরীক্ষণ, স্থায়িত্ব এবং সনাক্তকরণ এড়াতে স্ব-ধ্বংস করতে সক্ষম।
আক্রমণটি বিশ্বব্যাপী ব্যবসায়িক পরিষেবা, আর্থিক পরিষেবা এবং প্রযুক্তি খাতের সংস্থাগুলিতে আঘাত করেছে।
ব্যবহারকারীদের কী করা প্রয়োজন
আপনি যদি কোনও OpenAI macOS অ্যাপ চালান তবে এখনই আপডেট করুন। ৮ মে এর পরে, পুরানো সংস্করণগুলি সম্পূর্ণভাবে কাজ করা বন্ধ করবে। ন্যূনতম প্রয়োজনীয় সংস্করণ:
- ChatGPT Desktop: 1.2026.051
- Codex App: 26.406.40811
- Codex CLI: 0.119.0
- Atlas: 1.2026.84.2
শুধুমাত্র অফিসিয়াল সোর্স থেকে বা ইন-অ্যাপ আপডেটের মাধ্যমে ডাউনলোড করুন। OpenAI স্পষ্টভাবে ইমেল, বিজ্ঞাপন বা তৃতীয় পক্ষের সাইট থেকে কিছু ইনস্টল করার বিরুদ্ধে সতর্ক করছে—উপযুক্ত পরামর্শ কারণ পুরানো সার্টিফিকেট সহ একটি দূষিত অভিনেতা তাত্ত্বিকভাবে নকল অ্যাপ সাইন করতে পারে যা বৈধ দেখায়।
Windows, iOS, Android, এবং Linux ব্যবহারকারীরা প্রভাবিত নয়। ওয়েব সংস্করণগুলিও নয়। পাসওয়ার্ড এবং API কী সুরক্ষিত থাকে।
কেন ৩০ দিনের উইন্ডো?
OpenAI অবিলম্বে সার্টিফিকেট প্রত্যাহার করতে পারত কিন্তু তা করেনি। সমঝোতাযুক্ত সার্টিফিকেট দিয়ে নতুন নোটারাইজেশন ইতিমধ্যে ব্লক করা আছে, যার অর্থ এটির সাথে সাইন করা কোনও প্রতারণামূলক অ্যাপ macOS-এর ডিফল্ট নিরাপত্তা চেক ব্যর্থ হবে যদি না ব্যবহারকারীরা ম্যানুয়ালি সেগুলি ওভাররাইড করে।
বিলম্ব ব্যবহারকারীদের ভাঙা সফ্টওয়্যারে জেগে ওঠার পরিবর্তে স্বাভাবিক চ্যানেলের মাধ্যমে আপডেট করার সময় দেয়। OpenAI বলছে যে এটি সার্টিফিকেট অপব্যবহারের কোনও চিহ্নের জন্য পর্যবেক্ষণ করছে এবং দূষিত কার্যকলাপ দেখা গেলে প্রত্যাহার ত্বরান্বিত করবে।
ঘটনাটি তুলে ধরে যে কীভাবে সাপ্লাই চেইন আক্রমণ সফ্টওয়্যার ইকোসিস্টেমের মধ্য দিয়ে ঢেউয়ের মতো ছড়িয়ে পড়তে থাকে। একটি সমঝোতাযুক্ত npm প্যাকেজ, এবং হঠাৎ OpenAI তার সম্পূর্ণ macOS প্রোডাক্ট লাইন জুড়ে সার্টিফিকেট পরিবর্তন করছে। ডেভেলপারদের জন্য, পাঠ স্পষ্ট: আপনার নির্ভরতাগুলিকে নির্দিষ্ট কমিটে পিন করুন, ফ্লোটিং ট্যাগ নয়।
চিত্রের উৎস: Shutterstock- openai
- সাপ্লাই চেইন আক্রমণ
- সাইবার নিরাপত্তা
- axios
- macos
