Atak na łańcuch dostaw Axios npm został powiązany z północnokoreańską grupą Lazarus, co zmusiło OpenAI do podjęcia szeroko zakrojonych działań zaradczych po incydencie zgłoszonym 1 kwietnia 2026 r.
Ten incydent oznacza rosnące zagrożenie ze strony luk w oprogramowaniu stron trzecich, ponieważ OpenAI ujawniło narażenie na atak, potwierdzając jednocześnie bezpieczeństwo swoich danych użytkowników i systemów wewnętrznych. Grupa Google Threat Intelligence Group przypisała atak UNC1069 – grupie motywowanej finansowo, znanej z aktywności co najmniej od 2018 roku.
OpenAI stwierdziło: „Niedawno zidentyfikowaliśmy problem bezpieczeństwa związany z narzędziem programistycznym innej firmy, Axios, który był częścią szeroko zgłaszanego, szerszego incydentu branżowego”. Dodali, że żadne dowody nie wskazywały, że uzyskano dostęp do danych użytkownika lub naruszono bezpieczeństwo systemów wewnętrznych.
Do ujawnienia doszło 31 marca 2026 r., kiedy przepływ pracy GitHub Actions uruchomił skompromitowaną wersję Axios (v1.14.1), która miała dostęp do wrażliwych certyfikatów podpisywania kodu dla aplikacji OpenAI, w tym ChatGPT Desktop i Codex.
W odpowiedzi OpenAI zainicjowało pełną rotację swoich certyfikatów do podpisywania kodu macOS, traktując je jako potencjalnie zagrożone pomimo wewnętrznej analizy sugerującej, że certyfikaty prawdopodobnie nie zostały eksfiltrowane. Użytkownicy są zobowiązani do aktualizacji swoich aplikacji dla systemu macOS. Wsparcie dla starszych wersji zakończy się 8 maja 2026 r.
Aktualizacje obejmą nowe certyfikaty, które mają zapobiegać dystrybucji złośliwego oprogramowania podszywającego się pod legalne aplikacje OpenAI. Ten krok jest niezbędny, aby zaradzić nieodłącznemu ryzyku ataków na łańcuch dostaw.
OpenAI zaangażowało zewnętrzną firmę zajmującą się kryminalistyką cyfrową do zbadania incydentu i współpracowało z Apple w celu zablokowania wszelkich nowych prób notarialnych przy użyciu starego certyfikatu. Firma opublikowała także nowe wersje wszystkich aplikacji, których dotyczy problem, i sprawdziła poprzednie poświadczenia oprogramowania pod kątem nieprawidłowości.
Główna przyczyna narażenia wynikała z błędnej konfiguracji w przepływie pracy GitHub Actions OpenAI, który wykorzystywał pływający tag zamiast stałego skrótu zatwierdzenia, zwiększając w ten sposób ryzyko wprowadzenia zainfekowanych pakietów.
OpenAI potwierdziło, że naruszenie nie miało żadnego wpływu na platformy takie jak iOS, Android, Windows czy Linux. Powtórzyli, że żadne dane użytkownika, klucze API ani hasła nie zostały naruszone i nie znaleziono żadnego złośliwego oprogramowania sygnowanego przez OpenAI.
Stary certyfikat zostanie całkowicie unieważniony 8 maja 2026 r., po 30-dniowym okresie przejściowym mającym na celu ułatwienie użytkownikom dostosowania się. Każde oprogramowanie podpisane starym certyfikatem zostanie zablokowane przez zabezpieczenia systemu macOS po unieważnieniu, minimalizując ryzyko niewłaściwego użycia.
Atak ten odzwierciedla rosnące ryzyko związane z zależnościami oprogramowania stron trzecich i podkreśla krytyczną potrzebę bardziej rygorystycznego zarządzania zależnościami i bezpiecznych praktyk programistycznych w organizacjach.
