OpenAI está renovando sus certificados de firma de código para macOS tras un ataque de cadena de suministro dirigido al paquete npm Axios, el cual logró comprometer un flujo de trabajo de GitHub Actions utilizado por la empresa.
El 31 de marzo de 2026, un flujo de trabajo legítimo de OpenAI descargó y ejecutó una versión comprometida del paquete Axios (versión 1.14.1). Este paquete malicioso fue diseñado para desplegar malware en sistemas macOS, Windows y Linux.
El flujo de trabajo afectado tenía acceso a los certificados utilizados para firmar diversas aplicaciones de OpenAI para macOS, entre ellas ChatGPT Desktop, Codex, Codex CLI y Atlas.
Medidas de seguridad e impacto en los usuarios
OpenAI declaró que su investigación no halló pruebas de que los certificados de firma fueran realmente comprometidos o utilizados para distribuir malware. No obstante, la compañía está revocando los certificados como medida de precaución.
"Por extrema precaución, estamos tomando medidas para proteger el proceso que certifica que nuestras aplicaciones de macOS son apps legítimas de OpenAI", afirmó la compañía en un aviso de seguridad. "No hemos encontrado evidencia de que se haya accedido a los datos de los usuarios de OpenAI, de que nuestros sistemas o propiedad intelectual hayan sido comprometidos, o de que nuestro software haya sido alterado".
Los usuarios deberán actualizar sus aplicaciones de macOS a las versiones más recientes para garantizar que estén firmadas con los nuevos certificados seguros. OpenAI tiene previsto revocar definitivamente el certificado antiguo el 8 de mayo de 2026, fecha a partir de la cual macOS bloqueará cualquier intento de ejecutar aplicaciones firmadas con la credencial anterior.
El incidente no afecta a los servicios web de OpenAI ni a sus aplicaciones para iOS, Android, Windows o Linux. La empresa también confirmó que las cuentas de usuario, las contraseñas y las claves API permanecen seguras.
Investigadores de seguridad han vinculado el ataque de cadena de suministro de Axios con actores de amenazas de Corea del Norte conocidos como UNC1069. Según los informes, el grupo utilizó técnicas de ingeniería social, incluyendo invitaciones falsas de Microsoft Teams y Slack, para engañar a los mantenedores y lograr que instalaran malware que permitía el robo de credenciales y la manipulación de paquetes en la cadena de suministro.
