[RINGKASAN]
Pada 3/31(UTC) kemarin, GitHub Action workflow yang digunakan untuk penandatanganan aplikasi macOS mengunduh versi berbahaya Axios (v1.14.1). Meskipun kemungkinan pencurian sertifikat rendah, sertifikat penandatanganan aplikasi lama telah dibatalkan/diganti untuk perangkat yang berisiko. Pembatalan/penggantian sertifikat penandatanganan aplikasi dapat mengakibatkan aplikasi macOS versi lama tidak dapat diperbarui/didukung lagi atau bahkan tidak dapat dijalankan. Ini terlihat sebagai bencana besar yang mengikuti insiden "serangan rantai pasokan" LiteLLM sebelumnya.
Berikut ini adalah konten terjemahan otomatis AI dari pengumuman resmi.
Silakan merujuk ke tautan dokumen asli.
=======================
Apa yang terjadi?
Pada 2026-03-31(UTC), sebagai bagian dari serangan rantai pasokan perangkat lunak yang luas yang melibatkan pustaka pihak ketiga Axios, workflow GitHub Actions yang digunakan untuk penandatanganan aplikasi macOS OpenAI mengunduh dan menjalankan versi berbahaya Axios (versi 1.14.1).
Workflow tersebut memiliki akses ke materi sertifikat penandatanganan kode dan notarisasi yang digunakan untuk penandatanganan aplikasi macOS.
Dampak dan Penilaian
Berdasarkan hasil penyelidikan, kemungkinan sertifikat benar-benar dicuri rendah (karena titik waktu dan urutan operasi, dll), namun untuk meminimalkan risiko, sertifikat dianggap terekspos dan telah dibatalkan dan diganti.
OpenAI tidak menemukan bukti bahwa data pengguna atau perangkat lunak produk telah diubah atau terekspos.
Dampak Pengguna dan Jadwal Tindakan
Mulai 2026-05-08, aplikasi macOS versi sebelumnya mungkin tidak lagi diperbarui, didukung, atau dapat dijalankan.
Setelah tanggal tersebut, unduhan baru dan peluncuran pertama aplikasi yang ditandatangani dengan sertifikat lama dapat diblokir oleh keamanan macOS (namun pengecualian dapat terjadi jika pengguna melewati keamanan).
Versi sertifikat penandatanganan baru pertama aplikasi yang disarankan OpenAI (untuk referensi):
Tindakan Respons (Penyelidikan dan Pemulihan)
Mempekerjakan perusahaan forensik/IR pihak ketiga, mengganti sertifikat penandatanganan kode macOS, dan meluncurkan build baru.
Berkolaborasi dengan Apple untuk memblokir notarisasi baru dengan sertifikat lama.
Memverifikasi bahwa notarisasi yang tidak terduga dengan sertifikat lama tidak terjadi, dan memvalidasi bahwa tidak ada perubahan tanpa otorisasi pada perangkat lunak yang dirilis.
Penyebab: Kesalahan konfigurasi dalam workflow GitHub Actions (menggunakan floating tag alih-alih commit tetap, tidak menetapkan minimumReleaseAge untuk paket baru).
FAQ(Ringkasan)
Apakah produk atau data pengguna terekspos? → Tidak, tidak ada bukti.
Apakah kode berbahaya didistribusikan dengan ditandatangani oleh OpenAI? → Tidak ada bukti sejauh ini.
Apakah perlu mengubah kata sandi? → Tidak.
Platform apa yang terpengaruh? → Hanya aplikasi macOS. Tidak ada dampak pada iOS/Android/Linux/Windows dan versi web.
Cara memperbarui? → Hanya pembaruan dalam aplikasi atau unduhan dari sumber resmi (hindari tautan dari email/pesan/iklan/situs pihak ketiga).
Tindakan Pengguna yang Disarankan (Singkat)
Perbarui aplikasi macOS OpenAI yang Anda gunakan ke versi terbaru sesegera mungkin melalui jalur resmi (pembaruan dalam aplikasi atau halaman resmi OpenAI).
Jangan pernah menggunakan installer yang diterima dari email, pesan, iklan, atau tautan berbagi file, atau unduhan dari situs tidak resmi.
Perubahan kata sandi atau kunci API tidak diperlukan saat ini (berdasarkan pengumuman resmi).