আমরা সম্প্রতি একটি সাধারণ ওপেন-সোর্স লাইব্রেরি, TanStack npm, সম্পর্কিত একটি নিরাপত্তা সমস্যা শনাক্ত করেছি, যা Mini Shai-Hulud(একটি নতুন উইন্ডোতে খোলে) নামে পরিচিত একটি বৃহত্তর আক্রমণের অংশ. আমরা এমন কোনো প্রমাণ পাইনি যে OpenAI ব্যবহারকারীর ডেটা অ্যাক্সেস করা হয়েছে, আমাদের প্রোডাকশন সিস্টেম বা মেধাস্বত্ব ক্ষতিগ্রস্ত হয়েছে বা আমাদের সফটওয়্যার পরিবর্তন করা হয়েছে.
আমরা আমাদের ব্যবহারকারীর ডেটা, সিস্টেম এবং মেধাস্বত্ব সুরক্ষিত রাখতে দৃঢ় পদক্ষেপ নিয়েছি. আমাদের প্রতিক্রিয়ার অংশ হিসেবে, আমরা এমন প্রক্রিয়াটি সুরক্ষিত করতে পদক্ষেপ নিচ্ছি যা আমাদের macOS অ্যাপ্লিকেশনগুলোকে বৈধ OpenAI অ্যাপ হিসেবে প্রত্যয়িত করে.
12 জুন 2026 তারিখের মধ্যে আপনার macOS অ্যাপ্লিকেশন আপডেট করুন
আমরা আমাদের নিরাপত্তা সার্টিফিকেট আপডেট করছি, যার ফলে সব macOS ব্যবহারকারীকে তাদের OpenAI অ্যাপ সর্বশেষ সংস্করণে আপডেট করতে হবে. এটি এমন ঝুঁকি প্রতিরোধে সাহায্য করে, যতই অসম্ভাব্য হোক না কেন, যে কেউ OpenAI-এর বলে মনে হয় এমন একটি ভুয়া অ্যাপ বিতরণের চেষ্টা করতে পারে. আপনি ইন-অ্যাপ আপডেটের মাধ্যমে বা নিচের অফিসিয়াল লিংকগুলোতে নিরাপদে আপডেট করতে পারেন:
আপনার তথ্যের নিরাপত্তা ও গোপনীয়তা আমাদের সর্বোচ্চ অগ্রাধিকার. সমস্যা দেখা দিলে আমরা স্বচ্ছ থাকা এবং দ্রুত পদক্ষেপ নেওয়ার জন্য প্রতিশ্রুতিবদ্ধ. নিচে আমরা আরও প্রযুক্তিগত বিবরণ ও FAQ শেয়ার করছি.
11 মে 2026 UTC-তে, বহুল ব্যবহৃত ওপেন-সোর্স লাইব্রেরি TanStack, Mini Shai-Hulud নামে পরিচিত একটি বৃহত্তর সফটওয়্যার সাপ্লাই চেইন আক্রমণের অংশ হিসেবে ক্ষতিগ্রস্ত হয়(একটি নতুন উইন্ডোতে খোলে).
আমাদের কর্পোরেট পরিবেশে দুইজন কর্মীর ডিভাইস এই আক্রমণে প্রভাবিত হয়েছিল. ক্ষতিকর কার্যকলাপ শনাক্ত করার পর, আমরা দ্রুত তদন্ত, নিয়ন্ত্রণ এবং আমাদের সিস্টেম সুরক্ষার জন্য পদক্ষেপ নিয়েছি. আমাদের তদন্ত ও প্রতিক্রিয়ার অংশ হিসেবে, আমরা একটি তৃতীয়-পক্ষীয় ডিজিটাল ফরেনসিকস ও ইনসিডেন্ট রেসপন্স প্রতিষ্ঠানকে যুক্ত করেছি.
আমরা অভ্যন্তরীণ সোর্স কোড রিপোজিটরিগুলোর একটি সীমিত অংশে, যেখানে ঐ দুই ক্ষতিগ্রস্ত কর্মীর প্রবেশাধিকার ছিল, ম্যালওয়্যারটির সর্বজনীনভাবে বর্ণিত আচরণের সাথে সামঞ্জস্যপূর্ণ কার্যকলাপ পর্যবেক্ষণ করেছি, যার মধ্যে অনুমোদনহীন অ্যাক্সেস এবং ক্রেডেনশিয়াল-কেন্দ্রিক তথ্য পাচার কার্যকলাপ অন্তর্ভুক্ত ছিল. আমরা নিশ্চিত করেছি যে এই কোড রিপোজিটরিগুলো থেকে শুধুমাত্র সীমিত পরিমাণ ক্রেডেনশিয়াল সফলভাবে পাচার করা হয়েছে এবং অন্য কোনো তথ্য বা কোড ক্ষতিগ্রস্ত হয়নি.
আমরা কার্যকলাপটি নিয়ন্ত্রণে আনতে সঙ্গে সঙ্গে পদক্ষেপ নিয়েছি. আমরা প্রভাবিত সিস্টেম ও পরিচয় আলাদা করেছি, ব্যবহারকারীর সেশন বাতিল করেছি, প্রভাবিত রিপোজিটরিগুলোর সব ক্রেডেনশিয়াল পরিবর্তন করেছি, সাময়িকভাবে কোড-ডিপ্লয়মেন্ট ওয়ার্কফ্লো সীমিত করেছি এবং ব্যবহারকারী ও ক্রেডেনশিয়ালের আচরণ গভীরভাবে পরীক্ষা করেছি. আমাদের তদন্তের অংশ হিসেবে, আমরা গ্রাহক ডেটা বা আমাদের মেধাস্বত্বে প্রভাবের কোনো প্রমাণ দেখিনি এবং আমাদের বিশ্লেষণে প্রভাবিত ক্রেডেনশিয়ালের অপব্যবহার বা হুমকি সৃষ্টিকারীর পরবর্তী অ্যাক্সেস শনাক্ত হয়নি.
প্রভাবিত সোর্স কোড রিপোজিটরিগুলোর মধ্যে আমাদের পণ্যের সাইনিং সার্টিফিকেট ছিল, যার মধ্যে iOS, macOS এবং Windows অন্তর্ভুক্ত. ফলে, সতর্কতামূলক ব্যবস্থা হিসেবে আমরা কোড-সাইনিং সার্টিফিকেট পরিবর্তন করছি, যার জন্য macOS ব্যবহারকারীদের তাদের অ্যাপ্লিকেশন আপডেট করতে হবে. Windows এবং iOS অ্যাপের জন্য ব্যবহারকারীদের কোনো পদক্ষেপ নিতে হবে না. এই প্রয়োজনীয় আপডেট সম্পর্কে macOS ব্যবহারকারীদের জন্য অতিরিক্ত নির্দেশনা দেওয়া হবে.
সার্টিফিকেট আবর্তনের পাশাপাশি, আমরা নতুন নোটারাইজেশন বন্ধ করে এই সার্টিফিকেটগুলোর যেকোনো অনুমোদনহীন ব্যবহার রোধ করতে প্ল্যাটফর্ম প্রোভাইডারদের সাথে সমন্বয় করছি. আমরা আমাদের পূর্ববর্তী সার্টিফিকেট ব্যবহার করে করা সফটওয়্যারের সমস্ত নোটারাইজেশনও পর্যালোচনা করেছি, যাতে নিশ্চিত হওয়া যায় যে এই কীগুলো দিয়ে কোনো অপ্রত্যাশিত সফটওয়্যার সাইনিং ঘটেনি এবং যাচাই করেছি যে আমাদের প্রকাশিত সফটওয়্যারে কোনো অনুমোদনহীন পরিবর্তন ছিল না. আমরা বিদ্যমান সফটওয়্যার ইনস্টলেশনগুলোর ক্ষেত্রে কোনো আপস বা ঝুঁকির প্রমাণ পাইনি.
12 জুন 2026 তারিখে আমরা আমাদের সার্টিফিকেটটি সম্পূর্ণরূপে প্রত্যাহার করে নিলে, পূর্ববর্তী সার্টিফিকেট দ্বারা স্বাক্ষরিত অ্যাপগুলির নতুন ডাউনলোড এবং চালু করা macOS নিরাপত্তা ব্যবস্থা দ্বারা অবরুদ্ধ হয়ে যাবে.
Axios ঘটনার পর, এ ধরনের সাপ্লাই চেইন আক্রমণের প্রভাব কমাতে আমরা নির্দিষ্ট নিরাপত্তা নিয়ন্ত্রণ ব্যবস্থা ও প্রযুক্তির মোতায়েন ত্বরান্বিত করেছি. আমাদের নিরাপত্তা প্রতিক্রিয়ার মধ্যে ছিল আমাদের CI/CD পাইপলাইনে ব্যবহৃত সংবেদনশীল ক্রেডেনশিয়াল উপাদানের আরও শক্তিশালী সুরক্ষা, minimumReleaseAge-এর মতো নিয়ন্ত্রণসহ প্যাকেজ ম্যানেজার কনফিগারেশন মোতায়েন এবং নতুন প্যাকেজের উৎস যাচাইয়ের জন্য অতিরিক্ত নিরাপত্তা সফটওয়্যার.
এই নিয়ন্ত্রণ ব্যবস্থাগুলোর পর্যায়ক্রমিক স্থাপন ও প্রচলনের সময় ঘটনাটি ঘটে এবং ক্ষতিগ্রস্ত দুই কর্মীর ডিভাইসে সেই হালনাগাদ কনফিগারেশন ছিল না, যা থাকলে ম্যালওয়্যারযুক্ত নতুন আবিষ্কৃত প্যাকেজটির ডাউনলোড প্রতিরোধ করা যেত.
এই ঘটনাটি হুমকির প্রেক্ষাপটে একটি বৃহত্তর পরিবর্তনের প্রতিফলন ঘটায়: আক্রমণকারীরা এখন কোনো একক কোম্পানির পরিবর্তে ক্রমবর্ধমানভাবে শেয়ার করা সফটওয়্যার ডিপেন্ডেন্সি এবং ডেভেলপমেন্ট টুলিংকে লক্ষ্যবস্তু করছে. আধুনিক সফটওয়্যার ওপেন-সোর্স লাইব্রেরি, প্যাকেজ ম্যানেজার এবং কন্টিনিউয়াস ইন্টিগ্রেশন ও কন্টিনিউয়াস ডিপ্লয়মেন্ট পরিকাঠামোর একটি গভীরভাবে আন্তঃসংযুক্ত ইকোসিস্টেমের উপর নির্মিত, যার অর্থ হলো, আপস্ট্রিম থেকে আসা কোনো দুর্বলতা বিভিন্ন প্রতিষ্ঠানের মধ্যে ব্যাপকভাবে এবং দ্রুত ছড়িয়ে পড়তে পারে. আমরা থার্ড-পার্টি কম্পোনেন্টগুলোর অখণ্ডতা ও উৎস যাচাই করার জন্য কন্ট্রোল ব্যবস্থায় বিনিয়োগ অব্যাহত রেখেছি এবং এই ধরনের ইকোসিস্টেম-স্তরের সাপ্লাই চেইন আক্রমণের বিরুদ্ধে আমাদের প্রতিরক্ষা ব্যবস্থাকে শক্তিশালী করছি.
OpenAI পণ্য বা ব্যবহারকারীর ডেটা কি ক্ষতিগ্রস্ত হয়েছে?
না. OpenAI পণ্য বা ব্যবহারকারীর ডেটা ক্ষতিগ্রস্ত বা উন্মুক্ত হয়েছে এমন কোনো প্রমাণ আমরা পাইনি.
আপনারা কি OpenAI নামে স্বাক্ষরিত কোনো ম্যালওয়্যার দেখেছেন?
না. OpenAI-এর কোনো সার্টিফিকেট দিয়ে কোনো ক্ষতিকারক সফটওয়্যার স্বাক্ষরিত হওয়ার প্রমাণ আমরা পাইনি.
আমার কি পাসওয়ার্ড পরিবর্তন করতে হবে?
না. গ্রাহক/ব্যবহারকারীর পাসওয়ার্ড এবং API কীগুলো প্রভাবিত হয়নি.
এটি কোন কোন প্ল্যাটফর্মকে প্রভাবিত করে?
Windows, macOS, iOS এবং Android-এর জন্য আমাদের সাইনিং কী প্রভাবিত হয়েছে. আমাদের সব অ্যাপ্লিকেশন নতুন সার্টিফিকেট দিয়ে পুনরায় সাইন করে প্রকাশ করা হচ্ছে. অ্যাপ্লিকেশনগুলো চালু রাখতে macOS ব্যবহারকারীদের 12 জুন 2026 তারিখের মধ্যে আপডেট করতে পদক্ষেপ নিতে হবে.
আপনারা কেন আমাকে আমার Mac অ্যাপগুলো আপডেট করতে বলছেন?
আপডেট করলে নিশ্চিত হয় যে আপনি আমাদের সর্বশেষ সার্টিফিকেটে সাইন করা সংস্করণ ব্যবহার করছেন. এই সার্টিফিকেট গ্রাহকদের জানতে সাহায্য করে যে সফটওয়্যারটি বৈধ ডেভেলপার OpenAI থেকে এসেছে.
আপডেট করা macOS অ্যাপগুলো আমি কোথা থেকে ডাউনলোড করব?
শুধুমাত্র ইন-অ্যাপ আপডেট বা নিচের অফিসিয়াল ওয়েবপেজগুলো থেকে OpenAI অ্যাপ ডাউনলোড করুন:
ইমেল, মেসেজ, বিজ্ঞাপন বা তৃতীয় পক্ষের ডাউনলোড সাইটের লিঙ্ক থেকে অ্যাপ ইনস্টল করবেন না. ইমেল, টেক্সট, চ্যাট মেসেজ, বিজ্ঞাপন, ফাইল-শেয়ারিং লিঙ্ক বা তৃতীয় পক্ষের ডাউনলোড সাইটের মাধ্যমে পাঠানো অপ্রত্যাশিত “OpenAI,” “ChatGPT,” বা “Codex” ইনস্টলার সম্পর্কে সতর্ক থাকুন.
12 জুন 2026 তারিখের পর কী হবে?
12 জুন 2026 থেকে কার্যকরভাবে, আমাদের macOS ডেস্কটপ অ্যাপের পুরোনো সংস্করণগুলো আর আপডেট বা সাপোর্ট পাবে না এবং কাজ নাও করতে পারে. এই সংস্করণগুলো হলো আমাদের পুরোনো সার্টিফিকেট দিয়ে স্বাক্ষরিত শেষ রিলিজগুলো:
- ChatGPT ডেস্কটপ: 1.2026.118
- Codex অ্যাপ: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
আপনারা কেন অবিলম্বে সনদটি বাতিল করছেন না?
আমরা প্রভাবিত নোটারাইজেশন উপাদান ব্যবহার করে macOS অ্যাপের যেকোনো পরবর্তী নোটারাইজেশন বন্ধ করার জন্য কাজ করেছি. এর মানে হলো, প্রভাবিত সার্টিফিকেট ব্যবহার করে OpenAI অ্যাপ হিসেবে পরিচিত যেকোনো প্রতারণামূলক অ্যাপে নোটারাইজেশন থাকবে না, এবং তাই macOS নিরাপত্তা ব্যবস্থা দ্বারা এটি ডিফল্টভাবে ব্লক হয়ে যাবে, যদি না কোনো ব্যবহারকারী স্পষ্টভাবে সেই সুরক্ষা ব্যবস্থাগুলো বাইপাস করেন. যেহেতু পূর্ববর্তী সার্টিফিকেট দিয়ে নতুন নোটারাইজেশন ব্লক করা হয়েছে এবং যেহেতু এই বাতিলকরণের কারণে macOS পূর্ববর্তী সার্টিফিকেট দিয়ে স্বাক্ষরিত অ্যাপগুলোর নতুন ডাউনলোড এবং প্রথমবার চালু করা ব্লক করে দিতে পারে, তাই আমরা বিঘ্ন কমাতে আমাদের ব্যবহারকারীদের 12 জুন 2026 পর্যন্ত আপডেট করার জন্য সময় দিচ্ছি. এই সময়সীমা ব্যবহারকারীর ঝুঁকি কমাতে সাহায্য করবে এবং প্রভাবিত ক্লায়েন্টদের বিল্ট-ইন আপডেট পদ্ধতির মাধ্যমে আপডেট করার সুযোগ দেবে, যা তাদের যথাযথ প্রতিকার নিশ্চিত করবে. আমরা সাইনিং সার্টিফিকেটের অপব্যবহারের যেকোনো লক্ষণ পর্যবেক্ষণের জন্য আমাদের অংশীদারদের সাথে কাজ করছি এবং এই সময়সীমার মধ্যে কোনো ক্ষতিকারক কার্যকলাপ শনাক্ত হলে বাতিলকরণের সময়সীমা ত্বরান্বিত করব.
