अलीकडेच आम्ही TanStack npm या सर्वसाधारणपणे वापरल्या जाणाऱ्या ओपन-सोर्स लायब्ररीशी संबंधित एक सुरक्षा समस्या ओळखली, जी Mini Shai-Hulud(नवीन विंडोमध्ये उघडेल) म्हणून ओळखल्या जाणाऱ्या व्यापक हल्ल्याचा भाग आहे. OpenAI युजर डेटाला अॅक्सेस मिळाल्याचा, आमच्या उत्पादन सिस्टिम्सना किंवा इंटेलेक्च्युअल प्रॉपर्टी बाधित झाल्याचा, किंवा आमच्या सॉफ्टवेअरमध्ये बदल झाल्याचा आम्हाला कोणताही पुरावा आढळला नाही.
आमच्या युजर डेटा, सिस्टिम्स आणि इंटेलेक्च्युअल प्रॉपर्टीचे संरक्षण करण्यासाठी आम्ही ठोस पावले उचलली आहेत. आमच्या प्रतिसादाचा भाग म्हणून, आमची macOS अॅप्लिकेशन्स वैध OpenAI अॅप्स आहेत हे प्रमाणित करणारी प्रक्रिया सुरक्षित ठेवण्यासाठी आम्ही उपाय करत आहोत.
12 जून 2026 पर्यंत तुमची macOS अॅप्लिकेशन्स अपडेट करा
आम्ही आमची सुरक्षा सर्टिफिकेट्स अपडेट करत आहोत, ज्यामुळे सर्व macOS युजर्सना त्यांची OpenAI अॅप्स नवीनतम व्हर्जन्सवर अपडेट करावी लागतील. यामुळे OpenAI कडून असल्यासारखे दिसणारे बनावट अॅप कोणी वितरित करण्याचा प्रयत्न करण्याचा धोका कितीही कमी असला तरी टाळण्यास मदत होते. तुम्ही इन-अॅप अपडेटद्वारे किंवा खालील अधिकृत लिंक्सवर सुरक्षितपणे अपडेट करू शकता:
तुमच्या माहितीची सुरक्षा आणि गोपनीयता ही आमची सर्वोच्च प्राधान्ये आहेत. समस्या उद्भवल्यास पारदर्शक राहणे आणि त्वरीत कारवाई करणे यासाठी आम्ही वचनबद्ध आहोत. खाली आम्ही अधिक तांत्रिक तपशील आणि वारंवार विचारले जाणारे प्रश्न शेअर करत आहोत.
11 मे 2026 UTC रोजी, मोठ्या प्रमाणावर वापरली जाणारी ओपन-सोर्स लायब्ररी TanStack Mini Shai-Hulud म्हणून ओळखल्या जाणाऱ्या व्यापक सॉफ्टवेअर सप्लाय चेन हल्ल्याचा भाग म्हणून बाधित झाली(नवीन विंडोमध्ये उघडेल).
आमच्या कॉर्पोरेट वातावरणातील दोन कर्मचाऱ्यांच्या डिव्हाइसेसवर या हल्ल्याचा परिणाम झाला. दुर्भावनायुक्त ऍक्टिव्हिटी ओळखताच, आम्ही तपास, नियंत्रण आणि आमच्या सिस्टिम्सचे संरक्षण करण्यासाठी त्वरीत काम केले. आमच्या तपास आणि प्रतिसादाचा भाग म्हणून, आम्ही तृतीय-पक्ष डिजिटल फॉरेन्सिक्स आणि इन्सिडेंट रिस्पॉन्स फर्मची मदत घेतली.
या दोन प्रभावित कर्मचाऱ्यांना अॅक्सेस असलेल्या अंतर्गत सोर्स कोड रिपॉझिटरीच्या मर्यादित उपसंचात, अनधिकृत अॅक्सेस आणि क्रेडेन्शियल-केंद्रित डेटा बाहेर काढण्याच्या क्रियांसह, मालवेअरच्या सार्वजनिकरीत्या वर्णन केलेल्या वर्तनाशी सुसंगत हालचाल आम्ही पाहिली. या कोड रिपॉझिटरीमधून केवळ मर्यादित क्रेडेन्शियल सामग्रीच यशस्वीरीत्या बाहेर काढली गेली आणि इतर कोणतीही माहिती किंवा कोड प्रभावित झाला नाही, याची आम्ही पुष्टी केली.
ही ऍक्टिव्हिटी रोखण्यासाठी आम्ही तात्काळ पावले उचलली. आम्ही प्रभावित सिस्टीम्स आणि ओळखी वेगळ्या केल्या, युजर सेशन्स रद्द केली, प्रभावित रिपॉझिटरीमधील सर्व क्रेडेन्शियल्स बदलली, कोड-डिप्लॉयमेंट वर्कफ्लो तात्पुरते मर्यादित केले आणि युजर व क्रेडेन्शियल वर्तनाची सखोल तपासणी केली. आमच्या तपासाचा भाग म्हणून, कस्टमर डेटावर किंवा आमच्या इंटेलेक्च्युअल प्रॉपर्टीवर परिणाम झाल्याचा पुरावा आम्हाला आढळलेला नाही, तसेच आमच्या विश्लेषणात प्रभावित क्रेडेन्शियल्सचा गैरवापर किंवा धमकी देणाऱ्या घटकाकडून पुढील अॅक्सेस ओळखला गेलेला नाही.
प्रभावित सोर्स कोड रिपॉझिटरीमध्ये iOS, macOS आणि Windows सहित आमच्या उत्पादनांसाठी साइनिंग सर्टिफिकेट्स समाविष्ट होती. परिणामी, खबरदारीचा उपाय म्हणून आम्ही कोड-साइनिंग सर्टिफिकेट्स बदलत आहोत, ज्यासाठी macOS युजर्सना त्यांची अॅप्लिकेशन्स अपडेट करावी लागतील. Windows आणि iOS अॅप्ससाठी युजर्सना कोणतीही कारवाई करण्याची गरज नाही. या आवश्यक अपडेट्सबाबत macOS युजर्सना अतिरिक्त मार्गदर्शन दिले जाईल.
सर्टिफिकेट्स रोटेट करण्याव्यतिरिक्त, नवीन नोटरायझेशन्स थांबवून या सर्टिफिकेट्सचा कोणताही अनधिकृत वापर रोखण्यासाठी आम्ही प्लॅटफॉर्म प्रोव्हायडर्ससोबत समन्वय साधत आहोत. या कीजद्वारे कोणतेही अनपेक्षित सॉफ्टवेअर साइनिंग झालेले नाही याची खात्री करण्यासाठी आम्ही आमच्या पूर्वीच्या सर्टिफिकेट्स वापरून केलेल्या सर्व सॉफ्टवेअर नोटरायझेशनचे पुनरावलोकन देखील केले आहे आणि आमच्या प्रकाशित सॉफ्टवेअरमध्ये कोणतेही अनधिकृत बदल झालेले नाहीत याची पडताळणी केली आहे. विद्यमान सॉफ्टवेअर इन्स्टॉलेशन्ससाठी बाधित झाल्याचा किंवा धोका असल्याचा कोणताही पुरावा आम्हाला आढळलेला नाही.
12 जून 2026 रोजी आम्ही आमचे सर्टिफिकेट पूर्णपणे रद्द केल्यानंतर, मागील सर्टिफिकेटने साइन केलेल्या अॅप्सचे नवीन डाउनलोड आणि लाँचेस macOS सुरक्षा संरक्षणांद्वारे ब्लॉक केले जातील.
Axios घटनेनंतर, अशा प्रकारच्या सप्लाय चेन हल्ल्यांचा परिणाम कमी करण्यासाठी आम्ही विशिष्ट सुरक्षा नियंत्रण आणि तंत्रज्ञानांची अंमलबजावणी वेगाने केली. आमच्या सुरक्षा प्रतिसादात आमच्या CI/CD पाइपलाइनमध्ये वापरल्या जाणाऱ्या संवेदनशील क्रेडेन्शियल सामग्रीचे अधिक कडक संरक्षण, minimumReleaseAge सारख्या नियंत्रणांसह पॅकेज मॅनेजर कॉन्फिगरेशन्सची अंमलबजावणी, आणि नवीन पॅकेजेसचा उगम पडताळण्यासाठी अतिरिक्त सुरक्षा सॉफ्टवेअर यांचा समावेश होता.
ही घटना या नियंत्रणांच्या टप्प्याटप्प्याने अंमलबजावणी आणि रोलआउटदरम्यान घडली, आणि प्रभावित दोन कर्मचाऱ्यांच्या डिव्हाइसेसमध्ये अपडेट केलेले कॉन्फिगरेशन्स नव्हते, ज्यामुळे मालवेअर असलेले नव्याने आढळलेले पॅकेज डाउनलोड होणे रोखता आले असते.
ही घटना धोक्याच्या स्वरूपातील एका व्यापक बदलाचे प्रतिबिंब आहे: हल्लेखोर आता कोणत्याही एका कंपनीऐवजी, वाढत्या प्रमाणात सामायिक सॉफ्टवेअर अवलंबित्व आणि डेव्हलपमेंट टुलिंगना लक्ष्य करत आहेत. आधुनिक सॉफ्टवेअर हे ओपन-सोर्स लायब्ररी, पॅकेज मॅनेजर आणि कंटिन्युअस इंटिग्रेशन आणि कंटिन्युअस डिप्लॉयमेंट पायाभूत सुविधांच्या एका अत्यंत परस्परसंबंधित परिसंस्थेवर आधारित आहे. याचा अर्थ असा की, सुरुवातीच्या टप्प्यात निर्माण झालेली एखादी असुरक्षितता संस्थांमध्ये मोठ्या प्रमाणावर आणि वेगाने पसरू शकते. आम्ही तृतीय-पक्ष घटकांची अखंडता आणि मूळ स्रोत प्रमाणित करणाऱ्या नियंत्रणांमध्ये गुंतवणूक करत आहोत आणि या प्रकारच्या परिसंस्था-स्तरावरील सप्लाय चेन हल्ल्यांविरुद्ध आमचे संरक्षण अधिक मजबूत करत आहोत.
OpenAI उत्पादने किंवा युजर डेटा बाधित झाला होता का?
नाही. OpenAI उत्पादने किंवा युजर डेटा बाधित झाला किंवा उघड झाला असल्याचा कोणताही पुरावा आम्हाला आढळलेला नाही.
तुम्ही OpenAI म्हणून साइन केलेले मालवेअर पाहिले आहे का?
नाही. OpenAI च्या कोणत्याही सर्टिफिकेट्सने दुर्भावनायुक्त सॉफ्टवेअर साइन केले गेले असल्याचा कोणताही पुरावा आम्हाला आढळलेला नाही.
मला माझा पासवर्ड बदलण्याची गरज आहे का?
नाही. कस्टमर/युजर पासवर्ड आणि API किज प्रभावित झालेल्या नाहीत.
याचा परिणाम कोणत्या प्लॅटफॉर्मवर होतो?
Windows, macOS, iOS आणि Android साठी आमच्या साइनिंग किज प्रभावित झाल्या. आमची सर्व अॅप्लिकेशन्स नव्या सर्टिफिकेट्ससह पुन्हा साइन करून रिलीज केली जात आहेत. अॅप्लिकेशन्स कार्यरत राहण्यासाठी macOS युजर्सना 12 जून 2026 पर्यंत अपडेट करण्यासाठी कारवाई करावी लागेल.
तुम्ही मला माझी Mac अॅप्स अपडेट करण्यास का सांगत आहात?
अपडेट केल्याने तुम्ही आमच्या नवीनतम सर्टिफिकेटने साइन केलेल्या व्हर्जन्स वापरत आहात याची खात्री होते. हे सर्टिफिकेट कस्टमर्सना सॉफ्टवेअर वैध डेव्हलपर OpenAI कडून आले आहे हे समजण्यास मदत करते.
अपडेट केलेली macOS अॅप्स मी कुठून डाउनलोड करू?
OpenAI अॅप्स फक्त इन-अॅप अपडेट्समधून किंवा खालील अधिकृत वेबपेजवरूनच डाउनलोड करा:
ईमेल, मॅसेज, ऍड्स किंवा तृतीय-पक्ष डाउनलोड साइट्समधील लिंक्सवरून अॅप्स इन्स्टॉल करू नका. ईमेल, टेक्स्ट, चॅट मॅसेज, ऍड्स, फाइल-शेअरिंग लिंक्स किंवा तृतीय-पक्ष डाउनलोड साइट्सद्वारे पाठवलेले अनपेक्षित “OpenAI,” “ChatGPT,” किंवा “Codex” इनस्टॉलर्सबाबत सावध रहा.
12 जून 2026 नंतर काय होईल?
12 जून 2026 पासून, आमच्या macOS डेस्कटॉप अॅप्सच्या जुन्या व्हर्जन्सना अपडेट्स किंवा सपोर्ट मिळणार नाही, आणि त्या कार्यरत नसू शकतात. हे व्हर्जन्स आमच्या कालबाह्य सर्टिफिकेटने साइन केलेल्या शेवटच्या रिलीजेस दर्शवतात:
- ChatGPT डेस्कटॉप: 1.2026.125
- Codex अॅप: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
तुम्ही सर्टिफिकेट त्वरित रद्द का करत नाही?
प्रभावित नोटरायझेशन मटेरियलसह macOS अॅप्सचे पुढील कोणतेही नोटरायझेशन ब्लॉक करण्यासाठी आम्ही कार्य केले आहे. याचा अर्थ असा की प्रभावित सर्टिफिकेट वापरून OpenAI अॅप असल्याचे भासवणाऱ्या कोणत्याही फसव्या अॅपमध्ये नोटरायझेशन नसेल आणि त्यामुळे युजरने स्पष्टपणे त्या संरक्षणांना बायपास केल्याशिवाय ते macOS सुरक्षा संरक्षणांद्वारे डीफॉल्टनुसार ब्लॉक केले जाईल. पूर्वीच्या सर्टिफिकेटसह नवीन नोटरायझेशन ब्लॉक केले गेले असल्यामुळे आणि रिवोकेशनमुळे macOS पूर्वीच्या सर्टिफिकेटसह साइन केलेल्या अॅप्सचे नवीन डाउनलोड्स आणि प्रथमच लॉन्च होणे ब्लॉक करू शकते, त्यामुळे व्यत्यय कमी करण्यासाठी आम्ही आमच्या युजर्सना 12 जून 2026 पर्यंत अपडेट करण्यासाठी वेळ देत आहोत. ही वेळ युजर्सचा धोका कमी करण्यात मदत करेल आणि प्रभावित क्लायंट्सना बिल्ट-इन अपडेट मेकॅनिझम्सद्वारे अपडेट करण्यास अनुमती देईल, ज्यामुळे योग्यरित्या उपाययोजना केल्या जातील. साइनिंग सर्टिफिकेटच्या गैरवापराचे कोणतेही संकेत आढळतात का हे पाहण्यासाठी आम्ही आमच्या भागीदारांसोबत काम करत आहोत आणि या कालावधीत कोणतीही दुर्भावनापूर्ण ऍक्टिव्हिटी आढळल्यास रिवोकेशनची टाइमलाइन वेगवान करू.
