Giriş
OpenAI, macOS uygulamalarını imzalama sürecinde kullanılan bir GitHub Actions iş akışının kötü amaçlı Axios kütüphanesini indirdiğini açıkladı. Bu durum, yazılım tedarik zincirinde yaşanan siber saldırıların giderek daha önemli hale geldiğini ortaya koyuyor.
Saldırı Nasıl Çalışıyor?
Google Threat Intelligence Group, popüler npm paketlerinden birinin tedarik zincirinin, Kuzey Koreli bir hacker grubu olan UNC1069 tarafından kompromiye edildiğini bildirdi. Bu saldırı, paket yöneticisinin npm hesabının ele geçirilmesiyle 1.14.1 ve 0.30.4 versiyonlu zehirli paketlerin yüklenmesine olanak tanıdı. Kötü niyetli bir bağımlılık olan plain-crypto-js , WAVESHAPER.V2 adlı çok platformlu bir arka kapının Windows, macOS ve Linux sistemlerine yayılmasına sebep oldu.
OpenAI, kendi macOS uygulama imzalama sürecinin bir parçası olarak Axios 1.14.1 sürümünü indirdiğini belirtti. Bu iş akışı, ChatGPT Desktop, Codex, Codex CLI ve Atlas uygulamaları için kullanılan bir imza sertifikasına ve notary malzemesine erişim sağlıyordu.
OpenAI, bu olayın sonucunda imza sertifikasını tehlikeye sokan bir durum bulunmadığını belirtse de, sertifikanın zarar gördüğü kabul edilerek geri alınması ve değiştirilmesi gerektiğine karar verildi. 8 Mayıs 2026‘dan itibaren tüm eski macOS masaüstü uygulamaları güncelleme ve destek alamayacaktır.
Etkilenen Sistemler
Güncellemelerle etkilenmiş sistemlerin listesi aşağıdaki gibidir:
- ChatGPT Desktop – 1.2026.071
- Codex App – 26.406.40811
- Codex CLI – 0.119.0
- Atlas – 1.2026.84.2
Ayrıca OpenAI, Apple ile iş birliği yaparak eski sertifika ile imzalanmış yazılımların yeni notarizasyon almasını engellemeye çalışıyor. Sertifika değişim süreci, kullanıcıların zamanında güncellemeleri yapabilmeleri için bir rahatlama alanı sunuyor.
Çözüm ve Korunma
Eğer kullanıcılara karşı kötü niyetli bir aktör sertifikayı ele geçirmiş olsaydı, bu sertifikayı kendi yazılımlarını imzalamak için kullanabiliyor olacaktı. OpenAI, kötü niyetli bir üçüncü tarafın eski sertifika ile imzalanan yazılımların çoğunu varsayılan olarak engelleyeceğini vurguluyor.
Geliştiricilerin bu tür saldırılara karşı proaktif önlemler alması önemlidir. Aşağıdaki önerilere dikkat edilmelidir:
- Paketleri değişken etiketler yerine sabit SHA ile pinleyin.
- Docker Hardened Images (DHI) kullanın.
- CI/CD süreçlerinde her tetikleme noktasını bir güvenlik ihlali noktası olarak değerlendirin.
- Kısa süreli, dar kapsamlı kimlik bilgileri kullanın.
- Gizli anahtarlar ve sertifikalar için düzenli denetimler yapın.
- Güvenilir yayınlama yöntemleri kullanarak paketlerinizi npm ve PyPI’ye gönderin.
- İki faktörlü kimlik doğrulama (2FA) ile açık kaynak geliştirme süreçlerini güvence altına alın.
Aksiyon
Okuyucular, OpenAI’nin macOS uygulamalarını güncel tutma talimatlarına uymalı ve 8 Mayıs 2026 tarihine kadar eski uygulamaları güncellemeli veya yeni versiyonları yüklemeli. Eski uygulamaların güvenlik nedeniyle engellenebileceğini unutmayın. Bu tür olayların tekrar yaşanmaması için yazılımlarınızı ve sistemlerinizi sürekli olarak kontrol ederek gerekli önlemleri almalısınız.
