ہم نے حال ہی میں ایک عام اوپن سورس لائبریری، TanStack npm، سے متعلق ایک سیکیورٹی مسئلے کی نشاندہی کی، جو ایک بڑے حملے کا حصہ تھا جسے Mini Shai-Hulud(نئی ونڈو میں کھلتا ہے) کے نام سے جانا جاتا ہے. ہمیں کوئی ثبوت نہیں ملا کہ OpenAI صارفین کے ڈیٹا تک رسائی حاصل کی گئی، ہمارے پروڈکشن سسٹمز یا دانشورانہ املاک سے سمجھوتہ ہوا، یا ہمارے سافٹ ویئر میں تبدیلی کی گئی.
ہم نے اپنے صارفین کے ڈیٹا، سسٹمز اور دانشورانہ املاک کے تحفظ کے لیے فیصلہ کن اقدامات کیے ہیں. اپنے ردعمل کے حصے کے طور پر، ہم اس عمل کے تحفظ کے لیے اقدامات کر رہے ہیں جو ہماری macOS ایپلیکیشنز کو جائز OpenAI ایپس کے طور پر تصدیق کرتا ہے.
اپنی macOS ایپلیکیشنز کو 12 جون 2026 تک اپ ڈیٹ کریں
ہم اپنے سیکیورٹی سرٹیفکیٹس کو اپ ڈیٹ کر رہے ہیں، جس کے لیے تمام macOS صارفین کو اپنی OpenAI ایپس تازہ ترین ورژنز پر اپ ڈیٹ کرنا ہوگا. اس سے اس خطرے کو روکنے میں مدد ملتی ہے، چاہے اس کا امکان بہت کم ہی کیوں نہ ہو، کہ کوئی شخص OpenAI کی طرف سے معلوم ہونے والی جعلی ایپ تقسیم کرنے کی کوشش کرے. آپ اِن ایپ اپ ڈیٹ کے ذریعے یا نیچے دیے گئے سرکاری لنکس پر محفوظ طریقے سے اپ ڈیٹ کر سکتے ہیں:
آپ کی معلومات کی سیکیورٹی اور رازداری ہماری اولین ترجیح ہے. مسائل سامنے آنے پر ہم شفاف رہنے اور فوری کارروائی کرنے کے لیے پُرعزم ہیں. ہم ذیل میں مزید تکنیکی تفصیلات اور عمومی سوالات شیئر کر رہے ہیں.
11 مئی 2026 UTC کو، TanStack، جو ایک وسیع پیمانے پر استعمال ہونے والی اوپن سورس لائبریری ہے، Mini Shai-Hulud نامی ایک بڑے سافٹ ویئر سپلائی چین حملے کے حصے کے طور پر متاثر ہوئی(نئی ونڈو میں کھلتا ہے).
ہمارے کارپوریٹ ماحول میں ملازمین کی دو ڈیوائسز اس حملے سے متاثر ہوئیں. بدنیتی پر مبنی سرگرمی کی نشاندہی ہوتے ہی، ہم نے تیزی سے تحقیقات، روک تھام اور اپنے سسٹمز کے تحفظ کے اقدامات کیے. اپنی تحقیقات اور ردعمل کے حصے کے طور پر، ہم نے ایک تھرڈ پارٹی ڈیجیٹل فارنزکس اور انسیڈنٹ رسپانس فرم کی خدمات حاصل کیں.
ہم نے ایسی سرگرمی دیکھی جو میلویئر کے عوامی طور پر بیان کردہ رویے سے مطابقت رکھتی تھی، جس میں غیر مجاز رسائی اور اسناد پر مرکوز اخراجی سرگرمی شامل تھی اور یہ اندرونی سورس کوڈ ریپوزٹریز کے ایک محدود حصے میں دیکھی گئی جن تک ان دو متاثرہ ملازمین کی رسائی تھی. ہم نے تصدیق کی کہ ان کوڈ ریپوزٹریز سے صرف محدود اسنادی مواد ہی کامیابی سے خارج کیا گیا اور کوئی دوسری معلومات یا کوڈ متاثر نہیں ہوا.
ہم نے اس سرگرمی کو روکنے کے لیے فوری کارروائی کی. ہم نے متاثرہ سسٹمز اور شناختوں کو الگ کیا، صارف سیشنز منسوخ کیے، متاثرہ ریپوزٹریز میں تمام اسناد تبدیل کیں، کوڈ ڈپلائمنٹ ورک فلو عارضی طور پر محدود کیے اور صارف و اسنادی رویے کا باریک بینی سے جائزہ لیا. اپنی تحقیقات کے حصے کے طور پر، ہمیں کسٹمر ڈیٹا یا اپنی دانشورانہ املاک پر اثرات کا کوئی ثبوت نہیں ملا اور ہمارے تجزیے میں متاثرہ اسناد کے غلط استعمال یا خطرے کے عامل کی جانب سے بعد کی رسائی کی نشاندہی نہیں ہوئی.
متاثرہ سورس کوڈ ریپوزٹریز میں ہماری مصنوعات کے لیے سائننگ سرٹیفکیٹس شامل تھے، جن میں iOS، macOS اور Windows شامل ہیں. نتیجتاً، ہم احتیاطی اقدام کے طور پر کوڈ سائننگ سرٹیفکیٹس تبدیل کر رہے ہیں، جس کے لیے macOS صارفین کو اپنی ایپلیکیشنز اپ ڈیٹ کرنا ہوگا. Windows اور iOS ایپس کے لیے صارفین کو کوئی اقدام کرنے کی ضرورت نہیں ہے. ان لازمی اپ ڈیٹس کے بارے میں macOS صارفین کو مزید رہنمائی فراہم کی جائے گی.
سرٹیفکیٹس تبدیل کرنے کے علاوہ، ہم پلیٹ فارم فراہم کنندگان کے ساتھ ہم آہنگی کر رہے ہیں تاکہ نئی نوٹرائزیشنز روک کر ان سرٹیفکیٹس کے کسی بھی غیر مجاز استعمال کو روکا جا سکے. ہم نے اپنے سابقہ سرٹیفکیٹس استعمال کرتے ہوئے سافٹ ویئر کی تمام نوٹرائزیشنز کا بھی جائزہ لیا ہے تاکہ تصدیق ہو سکے کہ ان کلیدوں کے ساتھ کوئی غیر متوقع سافٹ ویئر سائننگ نہیں ہوئی اور یہ بھی توثیق کی ہے کہ ہمارے شائع کردہ سافٹ ویئر میں غیر مجاز تبدیلیاں نہیں تھیں. ہمیں موجودہ سافٹ ویئر انسٹالیشنز کے لیے سمجھوتے یا خطرے کا کوئی ثبوت نہیں ملا.
جب ہم 12 جون 2026 کو اپنا سرٹیفکیٹ مکمل طور پر منسوخ کر دیں گے، تو سابقہ سرٹیفکیٹ سے سائن کی گئی ایپس کے نئے ڈاؤن لوڈز اور لانچز macOS سیکیورٹی تحفظات کے ذریعے بلاک کر دیئے جائیں گے.
Axios واقعے کے بعد، ہم نے مخصوص سیکیورٹی کنٹرولز اور ٹیکنالوجیز کی تعیناتی کو تیز کر دیا تاکہ اس طرح کے سپلائی چین حملوں کے اثرات کو کم کیا جا سکے. ہمارے سیکیورٹی ردعمل میں ہماری CI/CD پائپ لائن میں استعمال ہونے والے حساس اسنادی مواد کی مزید مضبوطی، minimumReleaseAge جیسے کنٹرولز کے ساتھ پیکیج مینیجر کنفیگریشنز کی تعیناتی اور نئے پیکیجز کے ماخذ کی توثیق کے لیے اضافی سیکیورٹی سافٹ ویئر شامل تھا.
یہ واقعہ ان کنٹرولز کی مرحلہ وار تعیناتی اور رول آؤٹ کے دوران پیش آیا اور متاثرہ دو ملازم ڈیوائسز میں وہ اپ ڈیٹ شدہ کنفیگریشنز موجود نہیں تھیں جو میلویئر والے نئے مشاہدہ شدہ پیکیج کے ڈاؤن لوڈ کو روک دیتیں.
یہ واقعہ خطرات کے منظرنامے میں ایک وسیع تر تبدیلی کی عکاسی کرتا ہے: حملہ آور اب کسی ایک کمپنی کے بجائے مشترکہ سافٹ ویئر انحصارات اور ڈیولپمنٹ ٹولنگ کو زیادہ نشانہ بنا رہے ہیں. جدید سافٹ ویئر اوپن سورس لائبریریوں، پیکیج مینیجرز اور مسلسل انضمام و مسلسل تعیناتی کے انفراسٹرکچر کے ایک گہرے باہم مربوط نظام پر بنایا جاتا ہے، جس کا مطلب ہے کہ اوپر کی سطح پر پیدا ہونے والی کمزوری تنظیموں میں وسیع اور تیزی سے پھیل سکتی ہے. ہم تھرڈ پارٹی اجزا کی سالمیت اور ماخذ کی توثیق کرنے والے کنٹرولز میں سرمایہ کاری جاری رکھے ہوئے ہیں اور اس نوعیت کے ایکو سسٹم سطح کے سپلائی چین حملوں کے خلاف اپنے دفاع کو مضبوط بنا رہے ہیں.
کیا OpenAI کی مصنوعات یا صارفین کا ڈیٹا متاثر ہوا تھا؟
نہیں. ہمیں کوئی ثبوت نہیں ملا کہ OpenAI کی مصنوعات یا صارفین کا ڈیٹا متاثر ہوا یا بے نقاب ہوا.
کیا آپ نے OpenAI کے نام سے سائن کیا گیا میلویئر دیکھا ہے؟
نہیں. ہمیں کوئی ثبوت نہیں ملا کہ OpenAI کے کسی بھی سرٹیفکیٹ سے بدنیتی پر مبنی سافٹ ویئر سائن کیا گیا ہو.
کیا مجھے اپنا پاس ورڈ تبدیل کرنے کی ضرورت ہے؟
نہیں. کسٹمر یا صارف کے پاس ورڈز اور API keys متاثر نہیں ہوئے تھے.
یہ کن پلیٹ فارمز کو متاثر کرتا ہے؟
Windows، macOS، iOS اور Android کے لیے ہماری سائننگ keys متاثر ہوئی تھیں. ہماری تمام ایپلیکیشنز کو نئے سرٹیفکیٹس کے ساتھ دوبارہ سائن کر کے جاری کیا جا رہا ہے. macOS صارفین کو 12 جون 2026 تک اپ ڈیٹ کرنا ہوگا تاکہ ایپلیکیشنز کام کرتی رہیں.
آپ مجھ سے اپنی Mac ایپس اپ ڈیٹ کرنے کے لیے کیوں کہہ رہے ہیں؟
اپ ڈیٹ کرنے سے یہ یقینی بنتا ہے کہ آپ وہ ورژنز چلا رہے ہیں جو ہمارے تازہ ترین سرٹیفکیٹ سے سائن کیے گئے ہیں. یہ سرٹیفکیٹ صارفین کو یہ جاننے میں مدد دیتا ہے کہ سافٹ ویئر جائز ڈویلپر OpenAI کی طرف سے ہے.
میں اپ ڈیٹ شدہ macOS ایپس کہاں سے ڈاؤن لوڈ کروں؟
OpenAI ایپس صرف اِن ایپ اپ ڈیٹس یا نیچے دیے گئے سرکاری ویب صفحات سے ہی ڈاؤن لوڈ کریں:
ای میلز، پیغامات، اشتہارات، یا تھرڈ پارٹی ڈاؤن لوڈ سائٹس کے لنکس سے ایپس انسٹال نہ کریں. ای میل، ٹیکسٹ، چیٹ پیغامات، اشتہارات، فائل شیئرنگ لنکس، یا تھرڈ پارٹی ڈاؤن لوڈ سائٹس کے ذریعے بھیجے گئے غیر متوقع “OpenAI”، “ChatGPT”، یا “Codex” انسٹالرز سے محتاط رہیں.
12 جون 2026 کے بعد کیا ہوگا؟
12 جون 2026 سے، ہماری macOS ڈیسک ٹاپ ایپس کے پرانے ورژنز کو مزید اپ ڈیٹس یا سپورٹ نہیں ملے گا اور ہو سکتا ہے کہ وہ فعال نہ ہوں. یہ ورژنز ہمارے پرانے سرٹیفکیٹ سے سائن کی گئی آخری ریلیزز ہیں:
- ChatGPT ڈیسک ٹاپ: 1.2026.118
- Codex ایپ: 26.506.31421
- Codex CLI: 0.130.0
- Atlas: 1.2026.119.1
آپ سرٹیفکیٹ کو فوراً منسوخ کیوں نہیں کر رہے؟
ہم نے متاثرہ نوٹرائزیشن مواد کے ساتھ macOS ایپس کی مزید کسی بھی نوٹرائزیشن کو روکنے کے لیے کام کیا ہے. اس کا مطلب ہے کہ متاثرہ سرٹیفکیٹ استعمال کرتے ہوئے OpenAI ایپ کے طور پر ظاہر ہونے والی کوئی بھی جعلی ایپ نوٹرائزیشن سے محروم ہوگی اور اس لیے macOS سیکیورٹی تحفظات کے تحت بطور ڈیفالٹ بلاک ہو جائے گی، جب تک کہ کوئی صارف واضح طور پر ان تحفظات کو بائی پاس نہ کرے. چونکہ سابقہ سرٹیفکیٹ کے ساتھ نئی نوٹرائزیشن بلاک ہے اور چونکہ منسوخی کی وجہ سے macOS سابقہ سرٹیفکیٹ سے سائن کی گئی ایپس کے نئے ڈاؤن لوڈز اور پہلی بار لانچز کو بلاک کر سکتا ہے، اس لیے ہم اپنے صارفین کو 12 جون 2026 تک اپ ڈیٹ کرنے کا وقت دے رہے ہیں تاکہ خلل کم سے کم ہو. یہ مدت صارف کے خطرے کو کم کرنے میں مدد دے گی اور متاثرہ کلائنٹس کو بلٹ اِن اپ ڈیٹ میکانزم کے ذریعے اپ ڈیٹ کرنے دے گی، تاکہ ان کی مناسب اصلاح ہو سکے. ہم اپنے شراکت داروں کے ساتھ سائننگ سرٹیفکیٹ کے غلط استعمال کے کسی بھی اشارے کی نگرانی کے لیے کام کر رہے ہیں اور اگر اس مدت کے دوران ہمیں بدنیتی پر مبنی سرگرمی کی نشاندہی ہوئی تو ہم منسوخی کی مدت تیز کر دیں گے.
