OpenAI wymienia certyfikaty macOS po incydencie supply chain z udziałem złośliwego pakietu Axios - Security Bez Tabu

OpenAI wymienia certyfikaty macOS po incydencie supply chain z udziałem złośliwego pakietu Axios

Cybersecurity news

Wprowadzenie do problemu / definicja

OpenAI rozpoczęło wymianę certyfikatów podpisywania kodu dla aplikacji macOS po wykryciu incydentu typu software supply chain w swoim procesie budowania oprogramowania. Sprawa dotyczy uruchomienia złośliwej wersji biblioteki Axios w workflow GitHub Actions używanym podczas podpisywania i notaryzacji aplikacji.

Ataki na łańcuch dostaw oprogramowania są szczególnie niebezpieczne, ponieważ nie muszą uderzać bezpośrednio w końcową ofiarę. Zamiast tego kompromitują zależności, narzędzia deweloperskie lub pipeline CI/CD, co pozwala napastnikom uzyskać dostęp do wrażliwych środowisk, sekretów i mechanizmów dystrybucji oprogramowania.

W skrócie

  • 31 marca 2026 roku jeden z workflow GitHub Actions pobrał i uruchomił złośliwy pakiet Axios 1.14.1.
  • Workflow miał dostęp do materiałów wykorzystywanych do podpisywania aplikacji ChatGPT Desktop, Codex, Codex CLI i Atlas dla macOS.
  • OpenAI nie potwierdziło wycieku certyfikatu, danych użytkowników, haseł ani kluczy API.
  • Mimo braku dowodów na skuteczną eksfiltrację firma zdecydowała się na rotację certyfikatu.
  • Stary certyfikat ma zostać całkowicie unieważniony 8 maja 2026 roku.
  • Starsze wersje aplikacji macOS mogą po tej dacie przestać działać prawidłowo lub utracić wsparcie.

Kontekst / historia

Incydent OpenAI jest elementem szerszej kompromitacji związanej z ekosystemem npm i biblioteką Axios. Według ujawnionych informacji złośliwe wersje pakietu pojawiły się po przejęciu konta maintenera, do czego miało dojść w następstwie działań socjotechnicznych prowadzonych przez podmioty wiązane z Koreą Północną.

Napastnicy mieli wykorzystywać fałszywe oferty współpracy, komunikatory oraz rozmowy online, aby skłonić deweloperów do uruchomienia złośliwego kodu lub przekazania poświadczeń. To schemat coraz częściej obserwowany w atakach na środowiska programistyczne, gdzie celem nie jest pojedyncza organizacja, lecz szeroko stosowany komponent mogący otworzyć drogę do wielu ofiar jednocześnie.

Tego rodzaju operacje pokazują, że bezpieczeństwo zależności open source nie może być traktowane wyłącznie jako kwestia jakości kodu. W praktyce jest to również problem ochrony tożsamości maintainerów, integralności publikacji pakietów i kontroli zaufania w całym procesie dostarczania oprogramowania.

Analiza techniczna

Najistotniejszy aspekt techniczny incydentu polega na tym, że złośliwy pakiet został wykonany w workflow odpowiedzialnym za podpisywanie aplikacji macOS. To jeden z najbardziej wrażliwych etapów procesu wydawniczego, ponieważ obejmuje dostęp do certyfikatów code-signingu oraz materiałów potrzebnych do notaryzacji przez Apple.

OpenAI poinformowało, że analiza nie wykazała skutecznego wycieku certyfikatu. Według firmy ryzyko miały ograniczyć takie czynniki jak moment uruchomienia ładunku, sposób przekazywania materiału kryptograficznego do zadania, kolejność kroków workflow oraz dodatkowe zabezpieczenia proceduralne. Mimo to organizacja uznała certyfikat za potencjalnie narażony i wdrożyła działania ostrożnościowe.

Z punktu widzenia bezpieczeństwa najgroźniejszy scenariusz nie ogranicza się do podpisania podmienionej wersji istniejącej aplikacji. Znacznie poważniejsze byłoby użycie przejętego certyfikatu do podpisania całkowicie innego malware, który dla systemu macOS oraz użytkownika wyglądałby jak legalne oprogramowanie dostawcy. W ekosystemie Apple podpis kodu i notaryzacja są fundamentem mechanizmów zaufania, takich jak Gatekeeper.

Przyczyna źródłowa po stronie pipeline’u CI/CD miała mieć charakter konfiguracyjny. OpenAI wskazało na użycie pływającego tagu zamiast przypięcia akcji do konkretnego commit hash oraz brak ustawienia minimalnego wieku publikacji nowych pakietów. Oba błędy należą do klasycznych problemów hardeningu workflow, ponieważ zwiększają ryzyko pobrania świeżo opublikowanego lub zmodyfikowanego komponentu bez odpowiedniej kontroli.

W odpowiedzi firma wdrożyła współpracę z zewnętrznym zespołem DFIR, opublikowała nowe buildy aplikacji macOS podpisane nowym certyfikatem, przeprowadziła przegląd historii notaryzacji i rozpoczęła współpracę z Apple w celu ograniczenia możliwości wykorzystania starego certyfikatu do notaryzowania nowego oprogramowania.

Konsekwencje / ryzyko

Na obecnym etapie OpenAI ocenia, że incydent nie objął usług webowych ani aplikacji dla iOS, Androida, Windows i Linuksa. Firma podała również, że nie stwierdzono naruszenia kont użytkowników, haseł ani kluczy API, co wyraźnie ogranicza bezpośredni wpływ zdarzenia na klientów.

Nie oznacza to jednak, że skala ryzyka była mała. Kompromitacja workflow mającego dostęp do materiałów podpisu kodu należy do incydentów wysokiej wagi. Gdyby atakującym udało się pozyskać certyfikat, mogliby wykorzystać go do podpisania złośliwych plików binarnych podszywających się pod legalne aplikacje producenta. To mogłoby znacząco zwiększyć skuteczność kampanii malware, phishingu oraz ataków wymierzonych w użytkowników końcowych i środowiska firmowe.

Dodatkowym skutkiem jest konieczność szybkiej aktualizacji objętych aplikacji macOS. Po 8 maja 2026 roku starsze wersje podpisane poprzednim certyfikatem mogą zostać zablokowane przez zabezpieczenia systemu, przestać otrzymywać aktualizacje albo działać w sposób ograniczony. Dla zespołów IT i administratorów MDM oznacza to potrzebę pilnej weryfikacji wdrożonych wersji oprogramowania.

Rekomendacje

Incydent powinien zostać potraktowany przez organizacje rozwijające oprogramowanie jako praktyczna lekcja dotycząca ochrony pipeline’ów CI/CD oraz procesu code-signingu.

  • Przypinać akcje, kontenery i zależności do konkretnych wersji lub commit hash zamiast używać pływających tagów.
  • Wdrożyć politykę minimalnego wieku publikacji nowych pakietów oraz dodatkową ocenę reputacji pobieranych artefaktów.
  • Maksymalnie odseparować klucze i certyfikaty podpisu kodu od standardowych workflow buildowych.
  • Ograniczać dostęp do materiałów kryptograficznych do ściśle kontrolowanych zadań z pełnym audytem użycia.
  • Monitorować operacje podpisywania, notaryzacji i publikacji buildów pod kątem anomalii.
  • Regularnie ćwiczyć scenariusze naruszenia łańcucha dostaw, w tym kompromitacji zależności i kont maintainerów.

Dla użytkowników końcowych i administratorów praktyczna rekomendacja jest prosta: aktualizować aplikacje wyłącznie przez oficjalne kanały producenta, nie korzystać z instalatorów pochodzących z wiadomości e-mail, komunikatorów i zewnętrznych serwisów z plikami oraz upewnić się, że w środowisku działają najnowsze wersje aplikacji dla macOS.

Podsumowanie

Przypadek OpenAI pokazuje, jak poważne mogą być skutki incydentów supply chain wymierzonych w środowiska deweloperskie i proces podpisywania kodu. Nawet bez potwierdzonej eksfiltracji certyfikatu sama ekspozycja workflow mającego dostęp do materiałów kryptograficznych wymaga zdecydowanej reakcji operacyjnej i kryptograficznej.

Rotacja certyfikatów, przegląd historii notaryzacji oraz utwardzenie konfiguracji GitHub Actions to właściwe działania ograniczające ryzyko. Dla całej branży to kolejny sygnał, że bezpieczeństwo CI/CD, zależności open source i mechanizmów code-signingu musi być traktowane jako krytyczny element cyberodporności organizacji.

Źródła

  1. OpenAI – Our response to the Axios developer tool compromise
  2. BleepingComputer – OpenAI rotates macOS certs after Axios attack hit code-signing workflow
  3. BleepingComputer – Hackers compromise Axios npm package to drop cross-platform malware
  4. BleepingComputer – Axios npm hack used fake Teams error fix to hijack maintainer account